러시아 기관들이 헬하운드(HellHounds)로 알려진 APT 그룹의 표적이 되고 있다. 이 그룹은 최근 여러 사이버 공격을 감행했으며, 이 작전은 '라하트(Lahat) 작전'으로 명명되었다. 주로 러시아의 중요 인프라를 대상으로 한 이번 공격의 세부 내용을 살펴보자. 

헬하운드 그룹은 2023년 11월, 한 전력 회사에 대한 데코이 도그(Decoy Dog) 트로이 목마 공격 이후 포지티브 테크놀로지(Positive Technologies)에 의해 처음으로 공개됐다. 헬하운드 그룹은 조직을 침투하여 수년간 그 네트워크 내에서 잠복할 수 있는 능력을 가지고 있다. 이들은 취약한 웹 서비스나 신뢰받는 관계를 통한 초기 침투 벡터를 활용해 목표를 감염시킨다.

데코이 도그는 오픈 소스 Pupy RAT의 변종으로, C2 서버와의 통신에 DNS 터널링을 사용한다. 이 고도화된 멀웨어는 피해자를 한 컨트롤러에서 다른 컨트롤러로 이동시킬 수 있어 지속적인 제어와 탐지를 피할 수 있다. 인포블록스는 2023년 4월에 처음으로 데코이 도그를 발견했으며, 이 멀웨어는 Pupy보다 개선된 메모리 운영 및 윈도우 호환성 등의 기능을 갖추고 있다고 밝혔다.

최근 포지티브 테크놀로지는 윈도우 버전의 데코이 도그 존재를 확인했다. 이 멀웨어는 전용 인프라를 통해 페이로드를 암호화 및 전달하는 로더를 사용해 중요한 호스트에 배포된다. 현재까지 러시아의 48개 피해기관이 확인되었으며, 이들 중에는 IT 회사, 정부 기관, 우주 산업 기업 및 통신 제공업체 등이 포함되어 있다.

헬하운드 그룹은 리눅스 호스트에서 자격 증명을 얻기 위해 오픈 소스 도구인 3snake의 수정 버전을 사용한다. 이들은 오픈 소스 도구를 변형하여 방어 체계를 우회하고 감염된 네트워크 내에서 은밀하게 활동할 수 있다.

또 DNS를 통한 C2 통신 사용으로 인해 데코이 도그의 탐지 및 완화가 어렵다. Infoblox는 DNS 모니터링이 사이버 보안 방어의 중요한 구성 요소임을 강조하며, DNS 탐지 및 대응 시스템의 필요성을 제기했다. 이 시스템은 데코이 도그와 같은 위협을 효과적으로 식별하고 차단할 수 있다.