이란 해커 조직 APT35가 디지털 공격을 유도한 잠재적인 피해자가 속아 넘어갔는지 확인하고자 한다면, 텔레그램을 확인하기만 하면 된다. APT35가 설치한 복제 웹사이트에 누군가가 접속하면, 텔레그램 공개 채널에 알림이 표시되면서 잠재적 피해자의 IP 주소와 위치, 기기, 브라우저 등 각종 상세 정보를 제공한다. APT35가 텔레그램으로 보는 것은 푸시 알림이 아닌 피싱 알림이다.
구글의 위협 분석 그룹은 공식 블로그에 차밍 키튼(Charming Kitten)이라는 이름으로도 알려진 이란 정부의 후원을 받는 해커 세력인 APT35을 대상으로 한 대대적인 조사의 일부 과정으로 신규 공격 수법을 기술했다. APT35는 그동안 거액의 금전을 갈취할 공격 표적이 잘못된 링크를 클릭하거나 민감 정보를 마지못해 건네도록 한다. APT35는 국제 사이버 공격으로 가장 악명이 높거나 첨단 기술을 동원한 위협을 펼치는 조직은 아니다. 과거, APT35가 실수로 1시간이 넘는 분량의 해킹 영상을 유출하는 실수를 범한 사실을 한 가지 근거로 제시할 수 있다. 그러나 텔레그램 사용 행위는 직접 금전적 이익을 취할 혁신적인 수단이다.
APT35는 다양한 접근방식을 이용해 많은 이들이 직접 피싱 페이지에 접속하도록 한다. 구글은 최근 관측한 몇 가지 공격 사례를 자세히 설명했다. 일례로 영국의 어느 한 대학 웹사이트가 APT35의 공격으로 보안 침해 피해를 겪었을 당시 어떠한 경고도 없이 구글 플레이 스토어에 등장한 가짜 VPN 앱과 해커가 실제 콘퍼런스 주최자로 위장한 이메일, 피해 기관을 속여 기관 서명을 악성 PDF 파일과 드롭박스 링크, 웹사이트 등 여러 가지 요소로 확보하려는 행위 등이 발생했다.
[사진=Pixabay]
해당 대학 웹사이트 공격 당시 APT35는 보안이 악화된 페이지에서 잠재적인 피해자에게 직접 접촉해 웨비나 시청을 위해 지메일부터 페이스북, AOL 등 해커 세력이 선택한 서비스 제공 업체에 로그인하도록 유도했다. 민감 정보를 입력하면, 해당 정보가 APT35에 직접 전달되며, 해커 세력은 이중 인증 코드 사용을 요청한다. 특별히 주의하지 않을 정도로 오래된 수법이다. APT35는 2017년에 형성돼, 정부와 학계, 국가 보안 등 여러 기관을 공격했다.
가짜 VPN은 특히 혁신적인 방식도 아니며, 구글은 누군가가 다운로드하기 전 APT35가 자체 스토어에서 앱을 실행한다고 설명했다. 누군가가 APT35의 가짜 VPN에 속거나 여전히 정상적으로 사용할 수 있는 다른 플랫폼에 가짜 VPN을 설치한다면, 스파이웨어가 통화 기록과 문자, 위치 데이터, 연락처 정보 등을 탈취한다.
사실, APT35는 다른 사이버 공격 세력보다 더 뛰어난 공격 성과를 거두지 않았다. 많은 이들이 뮌헨 보안(Munich Security) 콘퍼런스와 씽크20 이탈리아(Think-20 Italy) 등의 관계자를 사칭한 것이 설득력이 있지만, 피싱을 즉시 개시하는 것도 마찬가지로 이해할 만하다. 구글 위협 분석 그룹 소속 보안 엔지니어인 아작스 바쉬(Ajax Bash)는 “APT35는 광범위하게 공격 표적을 두고 공격을 널리 확산하는 해커 조직이다. 그러나 APT35의 공격 대상 범위가 넓다고 해서 매우 심각한 피해를 주면서 성공한 조직임을 의미하지는 않는다. APT35의 공격 성공률은 매우 낮다”라고 말했다.
그러나 APT35가 텔레그램을 사용한 것은 언급할 가치가 있다. APT35는 페이지 로드가 이루어지는 모든 순간에 알림을 보내도록 설계한 피싱 페이지에 자바스크립트를 삽입했다. 또, 텔레그램 API의 메시지 전송(sendMessage) 기능으로 생성한 봇을 통해 알림을 관리한다. 텔레그램을 이용한 알림 설정은 APT35 해커 세력이 즉시 악성 링크 유도 성공 여부와 함께 피해자의 위치, 사용 기기, 자산 수준 등 각종 유용한 정보를 얻도록 한다. 바쉬는 “피싱과 관련, APT35는 피해자가 악성 링크를 클릭한 사실이나 구글 세이프 브라우징(Google Safe Browsing)의 페이지 분석 사실을 확인할 수 있다. APT35는 이를 이용해 추후 가짜 이메일을 통해 피해자를 속일 확률이 높은 방식으로 직접 접촉한다. 악성 이메일이 피해자에게 전송돼 수신과 메일 읽음, 링크 클릭 사실 등을 알기 때문이다”라고 설명했다.
2021년 7월, APT35의 텔레그램 사용 행위를 관찰한 보안 기업 맨디언트(Mandiant)는 APT35가 세련된 콘퍼런스 페이지만 피싱 공격에 동원하는 것이 아니라고 말한다. 맨디언트 애널리스트인 에미엘 해게버트(Emiel Haeghebaert)와 수석 애널리스트 사라 존스(Sarah Jones)는 와이어드가 요청한 이메일 코멘트에 “사이버 공격 세력은 악성 웹페이지를 생성하고는 성인 콘텐츠 웹사이트와 가짜 오디오 및 영상 통화, 신속 메시지 전송 소프트웨어로 위장한다. 최종 접속 페이지는 페이지 접속자의 프로필을 생성하고 페이지 접속자의 정보를 APT35 해커가 감시하는 것으로 추정되는 텔레그램 채널로 전송한다”라고 작성했다.
해커 세력은 과거에도 텔레그램을 이용한 적이 있다. 2021년 4월, 보안 기업 체크포인트(Check Point)는 톡시아이(ToxicEye)라고 칭한 해커 세력이 텔레그램을 멀웨어 인프라 명령과 관리의 일부에 악용한 사실을 발견했다. 또, 체크포인트는 톡시아이의 극단주의 세력 유지 실패 사실을 여러 차례 공개적으로 알렸으며, 사기꾼이 텔레그램 채널을 나가도록 했다. APT35가 알림을 위해 텔레그램 봇을 사용하는 행위는 톡시아이보다는 극단적이지 않으며, 적극적으로 감지하기 어렵다.
텔레그램 대변인 마이크 라브도니카스(Mike Ravdonikas)는 “문제를 지적한 APT35 콘텐츠는 눈에 띄는 악용 징조를 포함하지 않은 임의 메시지인 듯하다. 프로그래머의 코드 디버깅 등 무엇이든 해당할 수 있다”라고 설명했다. 텔레그램은 구글이 문제를 보고한 즉시 APT35의 봇과 채널을 모두 제거했으며, 그와 동시에 구글 덕분에 유사한 봇과 채널을 발견할 수 있었다고 밝혔다. 이어, 라브도니카스는 IP 주소 목록에 계속 접촉해 피싱 공격을 개시할 수 있다면, 봇의 알림이 악의적인 의도를 지녔다고 확신할 수 없다고 덧붙여 말했다.
희소식이 있다면, 민감 정보가 풍부한 업계 종사자가 아니라면 APT35가 접촉할 일이 없다는 사실이다. 그러나 APT35의 새로운 피싱 경고는 이미 불공평한 사이버 공격 퇴치 전쟁에서 다른 조직의 수법을 따라 하는 해커 세력이 악용할 새로운 수법을 한 가지 더 얻는 결과로 이어질 수 있다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202110/3472_4579_831.jpg)
뉴스레터 신청