중국 해커들이 이란의 여러 정부 기관을 공격했다고 팔로알토 네트웍스가 밝혔다. 이란 외무부를 비롯해 총 4개의 이란 정부 기관이 침해당했을 가능성이 제기됐다.
이 보안 기업의 최신 보고서에 따르면 중국 내의 지능형 위협 단체인 ‘플레이풀 타우루스’가 2022년 7월에서 12월 사이에 공격을 감행한 것으로 추정된다. ‘APT15’, ‘KeChang’, ‘NICKEL’, ‘BackdoorDiplomacy’, ‘Vixen Panda’라는 이름으로도 알려진 이 중국의 해커 조직은 이란 정부의 도메인을 맬웨어 인프라에 연결하려도 시도한 것으로 분석됐다.
팔로알토 네트웍스는 “플레이풀 타우루스가 전술과 도구를 고도화시키고 있다. 투리안 백도어와 새 C2 인프라와 관련한 최근의 업그레이드는 이들이 사이버 공격 캠페인에서 성공을 거두고 있음을 시사한다”라고 블로그를 통해 밝혔다.
이어 “악성 인프라에 대한 샘플 및 연결을 분석한 결과 이란 정부 네트워크가 손상됐을 가능성이 있다”라며, 이 해커 조직이 아프리카와 중동 지역의 다른 정부에 대해서도 유사하게 공격하고 있다고 경고했다.
새 버전의 투리아 악성코드
팔로알토 연구진은 이번 이란 정부를 대상으로 한 공격에서 플레이풀 타우루스가 새 버전의 투리안 악성코드와 새 명령 및 제어(C2) 인프라를 사용했음을 포착했다고 전했다. 백도어 새 버전에는 추가적인 난독화와 수정된 네트워크 프로토콜, C2 서버를 추출하기 위한 새 암호 해독 알고리즘이 있었다. 이 악성 코드는 C2 서버와 통신하고, 명령을 실행하고, 리버스 셸을 생성하도록 업데이트하는 기능을 제공한다고 연구진은 전했다.
팔로알토 연구진에 따르면 플레이풀 타우루스 명령 및 제어(C2) 서버와 연결된 이란 정부 인프라가 확인됐다. 공격에 의해 이미 해킹됐을 가능성을 시사한다. 연구진은 “이란 정부 IP 중 하나와 관련해서 플레이풀 타우루스 C2 서버와 겹치는 추가 인프라 호스팅 인증서를 포착했다”라고 전했다.
투리안은 2013년 시리아와 미국을 대상으로 한 공격에서 관찰된 백도어인 쿼리안의 후속작에 해당한다. 플레이풀 타우루스가 투리안을 사용하는 행태는 2021년 6월 ESET에 의해 발견된 바 있다.dl-ciokorea@foundryco.com
