베트남에 진출해 사업을 하거나 투자 예정인 외국계 기업을 타깃으로 하는 사이버 범죄 그룹의 정체가 공개됐다. 이들은 산업계 뿐 아니라 베트남 자국 이익을 대변하는 범죄 활동도 벌여왔는데, 해외 정부기관, 반체제 인사, 언론인도 공격 대상이었다.
파이어아이는 25일 ‘APT32’라고 명명한 사이버 범죄 조직에 대한 분석 보고서를 발표하고 베트남 정부와 동일한 이해관계를 지닌 사이버 스파이 그룹이 활동하고 있다고 밝혔다.
베트남 이익 대변하는 사이버 범죄 활동 벌여
파이어아이에 따르면 APT32 기업들을 공격하는 동기는 여러 가지가 있지만, 베트남에 진출해 사업을 하고 있거나 투자 예정인 외국계 기업에 큰 위협이 되고 있다. 또한 APT32는 동남아시아 및 전세계 공공 영역에서 진행되는 정치적 활동이나 언론의 자유에 지속적인 위협요인이 되고 있다.
파이어아이는 2014년부터 APT32, 오션로터스 그룹(OceanLotus Group)으로 알려진 사이버 위협 그룹을 추적해왔다. APT32는 베트남에서 제조, 소비재, 부동산(호텔, 숙박업) 사업과 관련된 해외 기업을 공격대상으로 삼아왔다.
2014년에는 베트남에 제조 시설을 건설하려던 유럽 기업이 침해 피해를 당했으며, 2016년에는 베트남 및 외국계 네트워크 보안, 기술 인프라, 금융, 미디어 부문의 기업들이 공격대상이 되었다. 2016년 중반에는 베트남에서 사업 확장을 계획 중이던 글로벌 숙박 및 관광 개발 기업의 네트워크 에서 APT32의 특징적 멀웨어가 감지되기도 했으며, 지난해부터 올해 사이 미국과 필리핀 소비재 기업의 베트남지사가 APT32의 공격 대상이 됐다.
파이어아이는 APT32가 산업계만 노린 것이 아니라, 베트남 자국의 이익과 관련해 해외 정부 기관, 반체제 인사, 언론인도 공격대상으로 삼아왔다고 밝혔다. APT32는 2014년 '베트남 대사관의 시위자 단속 계획'이라는 제목을 단 메일을 통해 스피어 피싱을 시도했었다. 2015년에는 중국 보안 기업 치후360(Qihoo 360)의 산하 연구기관인 스카이아이 랩이 중국 공공과 민간 부문을 노린 공격에서 APT32와 같은 멀웨어가 사용됐다고 주장했다.
이메일 발송 성과 측정 서비스 활용해 공격 성공률 확인
APT32는 사회 공학적 기법을 활용해 피해자가 매크로를 활성화하도록 유도하고 있으며, 스피어 피싱 이메일을 통한 악성 코드 첨부 파일도 계속 전달하고 있다. APT32는 공격대상을 향해 미끼용 파일을 다국어로 디자인 했다. 사용자가 받는 파일은 확장자가 .doc 문서 파일이지만, 이 파일은 텍스트와 이미지를 포함한 웹 아카이브 파일로 실제 확장자가 .mht인 엑티브마임(ActiveMime) 파일이다.
파이어아이는 APT32가 효율적으로 공격을 수행하기 위해서 마케팅/영업 조직이 흔히 쓰는 이메일 발송 관련 성과 측정 서비스를 이용해 누가 이메일을 열어 보았는지, 첨부 파일을 받은 이는 누구인지, IP 주소는 무엇인지 등을 면밀히 확인하는 것을 목격했다.
초기침투 후 APT32는 정기적으로 이벤트 로그를 지우고 Invoke-Obfuscation 프레임워크를 사용해 파워쉘 기반 도구와 쉘코드 로더를 탐지하기 어렵도록 만들었다. 또한 APT32는 초기침투를 한 다음 백도어를 설치하여 거점확보를 했으며 여러 프로토콜에 맞춤형 백도어를 적용했다. 참고로 APT32는 맥OS용 백도어 개발도 가능하며 WINDSHIELD, KOMPROGO, SOUNDBIT 및 PHOREAL를 포함한 멀웨어 페이로드를 주력으로 사용하고 있다.
전수홍 파이어아이 코리아 지사장은 “다국적 기업을 타깃으로 한 APT32의 연이은 공격은 해외에서 비즈니스를 하는 한국기업에게 경각심을 불러 일으키는 계기가 돼야 할 것이다. 사이버 공격 능력을 가진 국가의 수가 증가하고 있기 때문에 기업들은 새로운 위험성에 대해 주의 깊게 고려해야 한다. 사이버 공격을 빠르게 탐지하고 대응하기 위해서는 기술뿐만 아니라 전문성과 위협 인텔리전스도 필요하다.” 라고 밝혔다.
