구글의 위협 분석 그룹(TAG)의 연구원들이 러시아와 연계된 사이버 공격자들의 우크라이나 공격을 경고하고 나섰다.
러시아와 연계된 공격자들은 우크라이나에서 정보를 수집하고 허위 정보를 퍼뜨리기 위해 수백 명의 사용자들을 상대로 대규모 피싱 작업을 벌였다고 구글 TAG가 밝혔다. 2023년 1분기에 러시아 군사 정보국과 관련된 공격자들은 우크라이나에 피싱 작업을 집중했으며, 전체 공격의 60% 이상이 우크라이나를 목표로 시행된 것으로 확인됐다.
구글 TAG는 보고서를 통해 "러시아군 총참모부(GRU) 74455부대 소속 단체인 ‘FROZENBARENTS (샌드웜)’가 정보 수집, IO, 텔레그램을 통한 해킹된 데이터 유출 등의 공격으로 우크라이나 전쟁을 지원하고 있다”고 밝혔다.
프로즌레이크(FROZENLAKE) 혹은 샌드웜(Swandorm)으로도 불리는 이 그룹은 2000년부터 활동하고 있으며, 러시아 GRU의 특수 기술 센터(GTsST) 74455 유닛의 통제 하에 운영되고 있다. 이 그룹은 2017년 6월, 전 세계 수백 개 기업을 강타한 NotPetya 랜섬웨어를 퍼트린 주모자이기도 하다.
러시아 APT는 2022년에 우크라이나를 겨냥한 공격에 복수의 와이퍼를 사용했는데, 여기에는 AbraidShred, CaddyWiper, HermeticWiper, Industryroyer2, IsaacWiper, WhisperGate, Prestige, Roman Bogs, ZeroWipe 등이 포함된다. 2022년 9월에는 샌드웜 그룹은 통신 제공업체를 사칭해 악성 프로그램이 있는 우크라이나 기업을 공격했다. 올해 1월, 보안 기업 ESET의 연구원들은 우크라이나를 겨냥한 공격에 사용된 스위프트슬라이서(SwiftSlicer)라는 새로운 Go 언어 기반의 와이퍼를 발견했다.
구글 TAG에서 발행한 Fog of War 보고서에 따르면 FROZENBARENS는 자격 증명 피싱, 모바일 활동, 멀웨어, 외부 서비스 악용 등을 포함한 정교한 공격 기능을 갖춘 것으로 보인다. 이 그룹은 정부, 국방, 에너지, 운송/물류, 교육 및 인도주의 단체를 포함한 다방면을 대상으로 공격을 실행했다.
전문가들은 카자흐스탄에서 흑해로 석유를 운송하는 초대형 송유관 중 하나인 카스피해 송유관 컨소시엄(Caspian Pipeline Consortium, CPC) 통제 사건을 예로 들었다. FROZENBARENTS 그룹은 2022년 11월부터 CPC 및 유럽의 다른 에너지 부문 조직과 관련된 조직을 대상으로 지속적인 사이버 활동을 수행했다. 공격자들은 멀웨어 라다만티스(Rhadamanthys) 배포를 위한 스미싱 공격에 사용하기 위한 CPC 직원의 자격 증명을 노렸다. 라다만티스 정보를 훔치는데 악용되는 멀웨어다.
2023년 2월 초에 시작된 최근의 공격들에서 FROZENLAKE(APT28)는 여러 우크라이나 정부 웹사이트에 반사형 XSS (Reflected cross-site scripting) 공격을 가해 방문자들을 피싱 페이지로 유도해 계정 정보를 제공하도록 속였다.
연구원들은 IO 영역에서 FROZENBARENTS의 활동에 대해서도 경고하고 있다. APT 그룹은 가짜 온라인 캐릭터를 사용하여 허위 정보를 생성하고 유포하며 도난당한 데이터를 유출했다. 이를 통해 공격자들은 우크라이나, 나토, 서방에 대한 친러 여론을 조장하고 있다.
구글 TAG는 “FROZENBARENTS에 의해 운영되는 것으로 보이는 CyberArmyofRussia와 CyberArmyofRussia_Reborn이라는 닉네임을 텔레그램, 인스타그램, 유튜브 등에서 발견할 수 있었다. 이들 채널은 신원 확인 요청과 함께 사용이 정지되었으며, 정지된 시점까지 구독자나 팔로워 수는 매우 적은 수준이었다”고 밝혔다.
러시아와 연계된 사이버 공격자들은 CyberArmyofRussia_Reborn 텔레그램 채널을 이용해 데이터를 훔치고 선택된 대상에 대해 DDoS 공격도 수행했다.
한편, 전문가들은 우크라이나-러시아 전쟁 초기부터 우크라이나와 인근 국가 국민들을 지속적으로 표적으로 삼아온 벨라루스의 사이버 공격자 PUSCHA에 대한 분석도 공개했다. PUSCHA는 i.ua, meta.ua와 같은 해당 지역의 웹 메일 제공업체에 공격을 집중했다. 특히 일부 우크라이나 사람을 대상으로 한 스피어 피싱 공격이 확인됐다.
또한, 구글 TAG는 쿠바 랜섬웨어 그룹이 배후에 있는 멀웨어 공격 행위도 공개했다. 이 공격은 원격 제어를 할 수 있는 롬콤랫(RomCom RAT) 멀웨어를 배포하기 위해 시행됐으며, 공격 목표는 우크라이나 정부와 군대였다.
"이번 공격은 전통적인 랜섬웨어 운영 방식과 큰 차이가 있는데, 공격자들이 정보를 수집하듯이 공격을 수행하고 있다는 점이다. 공격자들은 ChatGPT 및 OpenAI와 같은 도메인 이름을 도용한 피싱 URL을 사용하고 있다. 공격은 상대적으로 규모가 작았으며, 위장된 도메인을 통해 공격 대상의 지메일(Gmail) 계정을 목표로 공격을 시행했다”
구글 TAG는 보고서 말미에 이번에 분석한 공격자들이 뮌헨 보안 콘퍼런스(Munich Security Conference)와 마스터즈 오브 디지털 콘퍼런스(Masters of Digital conference)의 참석자들을 대상으로도 사이버 공격을 시행한 정황을 발견했다고 덧붙였다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
