우크라이나를 상대로 사이버 스파이 활동을 펼치고 있는 것으로 알려진 악명 높은 해커 그룹 UAC-0050이 최근 더욱 정교한 전술로 정부 기관에 대한 위협을 강화하고 있다. 업틱스 보안연구원들은 이 그룹이 사용하는 새로운 통신 기법을 공개하며 스텔스 능력의 비약적인 발전을 공개했다.
▲UAC-0050 사이버 스파이 그룹
UAC-0050은 대략 2020년부터 우크라이나의 정부 기관을 타깃으로 삼고 공격 작업을 펼쳐왔다.
이 그룹의 활동 범위는 우크라이나를 넘어 발트해 연안 국가와 러시아의 정부 기관에 대한 공격도 보고된 바 있다.
▲렘코스가 선택한 무기, 멀웨어
이 그룹은 주로 독일에 본사를 둔 브레이킹 시큐리티가 개발한 원격 감시 툴인 렘코스(Remcos)를 배포한다.
렘코스는 다양한 기능을 갖춘 "가볍고 빠르며 고도로 사용자 정의 가능한 원격 관리 도구"로 알려져 있다.
▲진화하는 전술
연구원들은 UAC-0050이 탐지를 피하면서 악성 데이터를 전송하는 데 사용하는 다양한 방법을 확인했다.
해커들은 윈도우 운영 체제 내에 파이프 통신 방법을 구현해 데이터 전송을 위한 은밀한 채널을 만들었다.
▲최근 공격 및 표적 전략
12월, 우크라이나 CERT는 정부 기관을 표적으로 삼은 UAC-0050의 공격이 렘코스를 통해 이루어졌다는 사실을 발견했다.
해커들은 피싱 메일을 우크라이나 보안 서비스(SBU)와 우크라이나의 통신 사업자로 위장해 발송했다.
또 다른 캠페인은 우크라이나 군인을 대상으로 이스라엘 방위군(IDF)의 컨설팅 직책에 대한 사기 구인 제안을 보내기도 했다.
해커들은 윈도우 운영 체제 내에서 파이프를 사용해 데이터 전송을 위한 은밀한 채널을 만들어 안티바이러스 시스템을 회피할 수 있게 했다.
완전히 새로운 기법은 아니지만, 이 기법은 해커들의 전략에서 주목할 만한 발전을 이루었으며, 탐지되지 않는 능력을 향상시켰다.
▲잠재적인 국가 후원 및 지속적인 위협
UAC-0050은 알려진 위협 행위자나 특정 국가와 직접적으로 연관되어 있지는 않다. 하지만 이 그룹의 활동은 특히 윈도우 시스템에 의존하는 여러 국가 정부 시스템에 상당한 위협을 가할 수 있어 주의해야 한다.
▲렘코스의 역량과 보안 우려
해커가 악용할 경우, 렘코스는 피해자에 대한 민감한 정보를 수집하고 유명 브라우저에서 쿠키와 로그인 데이터를 제거할 수 있다.
윈도우에서 합법적인 프로세스로 실행되어 바이러스 백신 보호를 우회할 수 있으며, 관리자 권한을 획득해 사용자 계정 제어를 비활성화할 수도 있다.
UAC-0050의 진화에서 알 수 있듯, 정부 기관, 특히 윈도우 시스템에 의존하는 정부 기관은 경계를 늦추지 말고 사이버 보안 조치를 강화해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
