[리포트]파이어아이 APT32 분석

파이어아이(대표 전수홍)는 사이버 위협 그룹 APT32 보고서를 내고 APT32가 베트남 정부와 동일한 이해관계를 지닌 사이버 스파이 그룹으로 규정했다.

APT32는 베트남에 진출해 사업을 하고 있거나 투자 예정인 외국계 기업에 큰 위협이다. APT32는 동남아시아와 전세계 공공 영역에서 진행되는 정치적 활동이나 언론의 자유에 지속적인 위협요인이다.

파이어아이는 지난 2014년부터 APT32, 오션로터스 그룹(OceanLotus Group)으로 알려진 사이버 위협 그룹을 추적했다. APT32는 베트남에서 제조, 소비재, 부동산(호텔, 숙박업) 사업과 관련된 해외 기업을 공격대상으로 삼았다.

2014년에는 베트남에 제조 시설을 건설하려던 유럽 기업이 침해 피해를 당했다. 2016년에는 베트남과 외국계 네트워크 보안, 기술 인프라, 금융, 미디어 기업이 공격 대상이었다. 2016년 중반에는 베트남에서 사업 확장을 계획중이던 글로벌 숙박 및 관광 개발 기업 네트워크에서 APT32 악성코드가 감지됐다. 지난해부터 올해 사이 미국과 필리핀 소비재 기업의 베트남지사가 APT32의 공격 대상이 됐다.

파이어아이는 APT32가 산업계만 노린 것이 아니라, 베트남 이익과 관련한 해외 정부 기관, 반체제 인사, 언론인도 공격했다고 밝혔다. APT32는 2014년 '베트남 대사관의 시위자 단속 계획'이라는 이메일로 스피어 피싱을 시도했다. 2015년에는 중국 보안 기업 치후360 산하 연구기관인 스카이아이 랩이 중국 공공과 민간 부문을 노린 공격에서 APT32와 같은 악성코드가가 사용됐다고 주장했다.

APT32는 최근 사회 공학적 기법을 활용해 피해자가 매크로를 활성화하게 한다. 스피어 피싱 이메일을 통한 악성 코드 첨부 파일도 전달한다. APT32는 미끼용 파일을 다국어로 디자인한다. 사용자가 받는 파일은 확장자가 '.doc' 문서 파일이지만, 이 파일은 텍스트와 이미지를 포함한 웹 아카이브 파일로 실제 확장자가 '.mht'인 엑티브마임(ActiveMime) 파일이다.

[리포트]파이어아이 APT32 분석

파이어아이는 APT32가 효율적으로 공격을 수행하기 위해 마케팅/영업 조직이 흔히 쓰는 이메일 발송 관련 성과 측정 서비스를 이용해 누가 이메일을 열어 보았는지, 첨부 파일을 받은 이는 누구인지, IP 주소는 무엇인지 등을 면밀히 확인하는 것을 목격했다. 초기침투 후 APT32는 정기적으로 이벤트 로그를 지우고 Invoke-Obfuscation 프레임워크를 사용해 파워쉘 기반 도구와 쉘코드 로더를 탐지하기 어렵도록 만들었다.

APT32는 초기침투 후 백도어를 설치해 거점을 확보했다. 여러 프로토콜에 맞춤형 백도어를 적용했다. APT32는 맥OS용 백도어 개발도 가능하며 WINDSHIELD, KOMPROGO, SOUNDBIT 및 PHOREAL를 포함한 악성코드 페이로드를 주력으로 사용한다.

전수홍 파이어아이 코리아 대표는 “국적 기업을 타깃으로 한 APT32의 연이은 공격은 해외에서 비즈니스를 하는 한국 기업이 주의해야 한다”면서 “사이버 공격 능력을 가진 국가의 수가 증가하고 있어 기업은 새로운 위험을 고려해야 한다”고 말했다. 그는 “사이버위협 탐지를 위해서 기술뿐만 아니라 전문성과 위협 인텔리전스도 필요하다”라고 덧붙였다.

[리포트]파이어아이 APT32 분석

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

위방향 화살표