카스퍼스키, 아태지역 산업 타깃 공격 ‘살몬슬라럼’ 발견

[아이티데일리] 글로벌 보안 기업 카스퍼스키(지사장 이효은)은 자사 산업제어시스템(ICS) 침해사고대응팀(CERT)이 아시아태평양(APAC) 지역 산업 조직을 표적으로 삼은 공격 ‘살몬슬라럼(SalmonSlalom)’을 발견했다고 27일 밝혔다.

공격자들은 클라우드 서비스를 악용해 악성코드를 관리하고, 탐지를 피하고자 합법 소프트웨어를 활용한 ‘다단계 악성코드 배포 방식(multi-stage malware delivery scheme)’을 사용했다. 이를 통해 피해 조직의 네트워크 전반에 악성코드를 확산시키고 원격 관리 도구를 설치하며, 기밀 정보를 탈취 및 삭제했다.

이번 공격은 대만, 말레이시아, 중국, 일본, 태국, 홍콩, 한국, 싱가포르, 필리핀, 베트남을 포함한 APAC 지역 여러 국가 및 지역의 정부 기관과 산업 조직을 대상으로 삼았다.

공격자들은 세금 관련 문서로 위장한 악성코드가 포함된 ZIP 압축 파일을 이메일 및 메신저(위챗, 텔레그램)를 이용한 피싱 캠페인을 통해 피해자들에게 전달했다. 복잡한 다단계 멀웨어 설치 절차의 결과로 시스템에 백도어(Backdoor)로 원격 액세스 트로이목마(RAT)인 페이탈RAT(FatalRAT)가 설치됐다.

이전 공격에서 쓰였던 고스트 RAT(Gh0st RAT), 제고스트(Zegost)와 같은 오픈소스 원격 트로이목마를 활용한 방식과 유사한 점이 있었으나, 이번 공격에서는 특히 중국어 사용자를 겨냥한 새로운 전술과 기술 및 절차에 변화가 두드러졌다.

구체적으로는 중국 클라우드 콘텐츠 전송 네트워크(CDN)인 마이큐클라우드(myqcloud)와 유다오 클라우드 노트(Youdao Cloud Notes) 서비스를 악용해 공격을 수행했다. 탐지 및 차단을 회피하기 위해 동적으로 제어 서버 및 악성 페이로드(payload) 변경, 합법적인 웹 리소스에 악성 파일 배치 등 여러 방법이 쓰였다.

카스퍼스키는 이번 공격 캠페인을 ‘살몬슬라럼’이라고 명명했다. 연어가 급류를 거슬러 올라가면서 바위 사이를 헤치고 지나가듯, 공격자들이 사이버 방어 체계를 회피하기 위해 끊임없이 전략을 변경하는 모습에서 착안한 이름이다.

카스퍼스키 아드리안 히아(Adrian Hia) APAC 총괄 지사장은 “APAC 지역의 산업 조직을 겨냥한 공격 기법이 지속적으로 진화하고 있으며, 단순한 다단계 감염 체인뿐 아니라 특정 표적에 맞춰진 전략을 사용하고 있다”며 “이러한 위협에 대응하기 위해 산업 조직들은 보안 인식을 강화하고 위협 탐지 역량을 키우며, 지역 및 업종 간 위협 정보 공유를 확대함으로써 보다 효과적으로 방어해야 한다”고 말했다.

에브게니 곤차로프(Evgeny Goncharov) ICS CERT 책임자는 “이번 캠페인은 APAC 지역 산업 조직에 위협 행위자들이 실제로 운영 기술(OT) 시스템에 원격 접근 권한을 획득할 수 있음을 경고하는 사례”라며 “위협을 인식하는 것이 보안 강화를 위한 첫걸음이며 이를 통해 조직들은 자산과 데이터를 악의적인 공격자로부터 보호할 수 있다”고 밝혔다.