ESET백신 이셋코리아

새소식

홈 > 새소식









 
작성일 : 20-12-11 15:15
ESET, Turla Crutch가 EU의 한 국가에서 외교부를 공격하고 Dropbox를 사이버 스파이 활동에서 오용하고 있는 것을 발견
 글쓴이 : ESTC
조회 : 242  






사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 이전에 문서화되지 않은 백도어 및 사이버 스파이 활동에 사용된 문서 도용을 발견했다고 밝혔습니다.

ESET은 개발자가 Crutch라고 명명한 이 프로그램을 악명 높은 Turla APT 그룹에서 기인했다고 밝혔습니다. 이 맬웨어는 2015년부터 2020년 초까지 사용되었습니다. ESET은 유럽 연합의 한 국가 외무부 네트워크에서 Crutch를 발견했으며 이 맬웨어 계열은 매우 구체적인 대상에 대해서만 사용된다는 것을 시사했습니다. 이러한 도구는 Turla 운영자가 관리하는 Dropbox 계정으로 민감한 문서 및 기타 파일을 전송하도록 설계되었습니다.

Turla APT 그룹을 조사하는 ESET 연구원 Matthieu Faou는, “주요 악성 활동은 문서 및 기타 민감한 파일의 유출입니다. 공격의 정교함과 기술적 세부 사항은 Turla 그룹이 이처럼 크고 다양한 무기들을 운영할 상당한 자원을 가지고 있다는 인식을 더욱 강화시킵니다.” 라고 말합니다. “또한 Crutch는 정상적인 네트워크 트래픽과 혼합하기 위해 합법적인 인프라(여기서는 Dropbox)를 악용하여 일부 보안 계층을 우회하는 동시에 도난당한 문서를 유출하고 운영자로부터 명령을 받을 수 있습니다.”

운영자의 작업 시간을 대략적으로 파악하기 위해 ESET은 ZIP 파일을 업로드한 시간을 그들이 운영하는 Dropbox 계정으로 내보냈습니다. 이를 위해 연구원들은 2018 - 10월부터 2019년 7월까지 506개의 서로 다른 타임 스탬프를 수집했는데, 이는 피해자들의 머신이 작동 중일 때가 아니라 운영자가 작업 중일 때를 보여주어야 하기 때문입니다. 운영자는 UTC +3 표준 시간대에서 작업할 가능성이 높습니다.



Dropbox 영역에 업로드한 항목을 기준으로 한 Crutch 운영자의 근무 시간입니다.


ESET 연구소는 2016년의 Crutch 드로퍼와 Gazer 간의 강력한 연관성을 확인할 수 있었습니다. WhiteBear라고도 알려진 후자는 2016-2017 년에 Turla에서 사용한 2단계 백도어입니다.

Turla는 10년 이상 활발하게 활동해 온 사이버 스파이그룹입니다. 그들은 지난 몇 년간 ESET이 문서화한 대규모 맬웨어 무기를 운영하며 전 세계의 많은 정부, 특히 외교 기관에 피해를 입혔습니다.

Turla Crutch가 민감한 정보를 어떻게 공격하고 수집하는 지에 대한 자세한 기술 정보는 WeLiveSecurity 의 블로그 게시물 “Turla Crutch: Keeping the ‘back door’ open”를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.


ESET 소개
ESET®은 30여년 간 전세계 기업 및 개인 고객을 위한 업계 최고의 IT 보안 소프트웨어 및 서비스를 개발해 왔습니다. 엔드포인트 및 모바일 보안부터 암호화 및 2단계 인증에 이르는 솔루션을 통해, ESET의 고성능이면서도 사용이 간편한 제품은 개인 및 기업 고객에게 기술의 잠재력을 최대한 누릴 수 있는 심리적 여유를 제공합니다. ESET은 연중무휴 24/7 보호 및 모니터링하며 실시간으로 방어 기능을 업데이트하여 사용자의 안전을 유지하고 중단 없이 비즈니스를 운영되도록 합니다. 진화하는 위협에는 진화하는 IT 보안 회사가 필요합니다. 전 세계 13개 R&D 센터가 지원하는 ESET는 2003년 이후 100개의 Virus Bulletin VB100 상을 수상하는 최초의 IT 보안 회사입니다.

자세한 내용은 https://www.eset.com/ 을 방문하거나, Linkedin, FacebookTwitter 에서 ESET을 팔로우 하십시오.