러시아에 소속된 국가 후원 해커들이 미국, 독일, 아프가니스탄의 시스템을 손상시키기 위해 이전에 문서화되지 않은 임플란트를 사용하는 일련의 새로운 침입의 배후에 있다.
더해커뉴스에 따르면, 시스코 탈로스는 이번 공격을 Turla APT 그룹의 소행으로 보고 있으며, 제한된 기능과 탐지되지 않는 효율적인 코딩 스타일에 착안하여 악성 프로그램을 "TinyTurla"라고 명명했다. 이 백도어를 포함하는 공격은 2020년부터 발생한 것으로 추정된다고 보도했다.
연구원들은 "이 간단한 백도어는 기본 악성코드가 제거되더라도 시스템에 대한 액세스를 유지하기 위한 두 번째 백도어로 사용될 가능성이 높다. 또한 추가 맬웨어로 시스템을 감염시키는 2단계 드로퍼로 사용될 수 있다."라고 말했다. 또한 TinyTurla는 파일을 업로드 및 실행하거나 감염된 시스템에서 원격 서버로 중요한 데이터를 추출하는 동시에 새로운 명령에 대해 5초마다 명령 및 제어(C2) 스테이션을 폴링할 수 있다.
Snake, Venomous Bear, Uroburos 및 Iron Hunter라는 이름으로도 알려진 러시아의 후원을 받는 Tulra 조직은 미국, 유럽 및 동구권 국가 전역의 정부 기관과 대사관을 대상으로 하는 사이버 공격으로 유명하다. TinyTurla 캠페인에는 .BAT 파일을 사용하여 멀웨어를 배포하는 것이 포함되지만 정확한 침입 경로는 아직 명확하지 않다.
무해하지만 가짜인 마이크로소프트 윈도우 시간 서비스("w32time.dll")로 위장하여 탐지를 우회하는 이 백도어는 자체 등록하고 공격자가 제어하는 서버와 통신을 설정하여 임의 프로세스를 다운로드하고 실행하는 것부터 명령의 결과를 업로드하는 것에 이르기까지 다양한 지침을 수신하도록 설정된다.
TinyTurla와 Turla의 연관성은 과거 다른 캠페인에서 사용된 것과 동일한 기반구조인 modus operandi의 중복에서 비롯된다. 그러나 이번 공격은 Crutch 및 Kazuar와 같은 회피형 맬웨어는 말할 것도 없고 손상된 웹 서버와 C2 인프라에 대한 위성 연결 하이재킹을 포함하는 이 그룹의 과거 은밀한 캠페인과 극명한 대조를 이룬다.
연구원들은 "이것은 항상 백그라운드에서 실행되는 수많은 합법적인 서비스로 인해 오늘날의 시스템에서 악성 서비스가 얼마나 쉽게 간과될 수 있는지 보여주는 좋은 예이다. 이러한 종류의 공격을 탐지하기 위해 다계층 보안 아키텍처를 마련하는 것이 그 어느 때보다 중요하다. 적들이 하나 또는 다른 보안 조치들을 우회할 가능성은 별로 없지만, 그들이 그들 모두를 우회하는 것은 훨씬 더 어렵다."라고 덧붙였다.
★정보보안 대표 미디어 데일리시큐!★