게시일: 2020. 10. 4 오전 6:25:27
MS, 중국의 가돌리늄이 활용하던 애저 액티브 디렉토리 앱 18개 삭제해
2013년부터 활동해 온 중국 정부 지원 해커들...최근 아태 지역으로 공격 범위 확대
[보안뉴스 문가용 기자] 마이크로소프트가 이번 주 18개의 애저 액티브 디렉토리(Azure Active Directory) 애플리케이션들을 삭제했다고 발표했다. 이 애플리케이션들이 중국 정부의 지원을 받고 있는 공격자인 가돌리늄(GADOLINIUM)과 관련되어 있기 때문이라고 한다.
[이미지 = utoimage]
가돌리늄은 APT40, 템프페리스콥(TEMP.Periscope), 템프점퍼(TEMP.Jumper), 레비아탄(Leviathan), 브론즈 모혹(BRONZE MOHAWK), 크립토나이트 판다(Kryptonite Panada)라고 불리기도 한다. 2013년부터 활동한 것으로 알려져 있으며 중국 해군과 관련된 활동을 벌인다.
최근 들어 가돌리늄이 애저 클라우드 서비스와 오픈소스 도구들을 활용해 스피어피싱 공격을 진행했다는 보고들이 나오기 시작했다. 이에 MS가 조사를 진행해 선제적 방어를 실시한 것이 이번 발표의 골자다. “애저 액티브 디렉토리 애플리케이션 18개가 이들의 공격 인프라에 포함되어 있다는 것을 알게 되었고, 전부 삭제했습니다.”
마이크로소프트의 발표에 의하면 가돌리늄은 최근 교육과 정부 기관에 대한 공격을 일삼아 왔는데, 최근 들어 아태 지역의 기관들까지도 공격하기에 이르렀다고 한다. 또한 기존에 사용하던 공격 도구들에 더해 오픈소스 도구들을 추가해 공격의 기능성을 높이기도 했다고 한다. 특히 추적을 힘들게 했다는 게 포인트다.
가돌리늄은 최근 몇 년 동안 클라우드 인프라를 공격에 활용하는 것을 실험해 온 것으로 나타나기도 했다. 2016년 마이크로소프트의 테크넷(TechNet)을 시작으로, 2018년에는 깃허브(GitHub)를 C&C로 활용하는가 하면, 2019년과 2020년에도 다양한 공공 클라우드 서비스에서 비슷한 시도를 이어갔다.
2019년~2020년, 가돌리늄은 오픈소스 도구들에 대한 관심을 높이기도 했다. 이 때는 여러 APT 단체들이 오픈소스를 연구하기 시작한 시기이기도 하다. 오픈소스는 공격자의 변별력을 떨어트려 추적자를 따돌리기가 쉽고, 공격 비용이 줄어든다는 장점이 있어서 공격자들 사이에서 점점 선호되고 있다.
올해 4월 가돌리늄은 코로나 사태를 키워드로 채용함으로써 스피어피싱에 대한 설득력을 높이는 전술을 보여주기도 했다. 감염 자체는 여러 단계를 거쳐 일어났는데, 오픈소스인 파워셸엠파이어(PowershellEmpire)가 사용되기도 했었다. 이를 통해 피해자의 시스템에 추가적인 페이로드를 설치할 수 있게 된다.
그 외에 원드라이브(OneDrive)를 통해 명령을 실행하고 그 결과를 추출하는 모듈이 사용되는 사례도 있었다. 또한 애저 액티브 디렉토리를 사용해 데이터를 빼돌린 뒤 원드라이브로 보내는 방법이 활용되기도 했었다.
“엔드포인트나 네트워크 모니터링을 실시하는 입장에서 보면, 클라우드와 관련된 이러한 공격 행위들이 처음에는 정상적으로 보일 수밖에 없습니다. 유명한 클라우드 서비스의 API 등을 활용하게 되는 것이니까요. 그게 바로 클라우드가 공격에 연구되는 이유입니다.” MS의 설명이다.
3줄 요약
1. 중국의 APT 단체, 애저 클라우드 서비스를 공격에 활용.
2. 이에 MS가 18개 관련 애플리케이션들을 자사 생태계에서 삭제함.
3. 클라우드를 공격에 활용했을 때의 장점은, 공격 행위가 정상적으로 보인다는 것.
[국제부 문가용 기자(globoan@boannews.com)]
느낀점: 기사를 읽으면서 클라우드 서비스와 오픈소스 도구들로 공격을 진행한다는 것이 어떻게 진행되는지 궁금했다. 기사에서 소개하기를 가돌리늄이라는 공격자는 중국정부에서 지원받고있다고 했다. 이런일을 벌인 중국정부가 정말 싫고 클라우드와 관련된 이러한 공격행위들이 정상적으로 보일수밖에 없다는 말에 클라우드를 이용한 공격에호기심도 생겼다.