해커 그룹 'Twelve', 러시아 타겟으로 한 파괴적인 사이버 공격
최근 'Twelve'라는 해커 그룹이 러시아의 여러 기관을 겨냥한 파괴적인 사이버 공격을 감행하고 있다는 소식이 전해졌습니다. 이들은 안전하게 사용 가능한 공개 툴을 활용하여 피해자의 데이터를 암호화하고, 후속으로 인프라를 파괴하는 방식으로 최대한의 손상을 유도하고 있습니다.
공격 방식의 특징
Kaspersky는 Twelve의 공격 방식이 경제적 이익보다는 최대한의 피해를 주기 위한 의도로 이뤄졌다고 설명했습니다. 이 그룹은 2023년 4월, 러시아와 우크라이나 전쟁이 발생한 이후에 결성된 것으로 알려져 있으며, 자주 해킹 및 유출작전을 통해 민감한 정보를 탈취하고 있습니다. 이들은 Telegram을 통해 유출한 정보를 공유하기도 했습니다.
초기 접근 및 도구 사용
Twelve의 공격은 유효한 로컬 계정이나 도메인 계정을 남용하여 초기 접근을 획득한 뒤 원격 데스크톱 프로토콜(RDP)을 통해 내부에서의 이동을 진행합니다. 이들은 상대방 하청업체의 인프라에 침입하여 해당 업체의 인증서를 이용해 고객의 VPN에 연결하는 수법을 사용합니다. 이때 사용되는 도구로는 Cobalt Strike, Mimikatz, BloodHound 등이 있으며, PHP 웹 셸을 통해 임의의 명령을 실행하는 기능도 포함되어 있습니다.
취약점 악용
Twelve는 VMware vCenter의 알려진 보안 취약점(CVE-2021-21972 및 CVE-2021-22005)을 이용해 웹 셸럿을 전달하고, 이를 통해 FaceFish라는 백도어를 설치했습니다. 이들은 PowerShell을 사용하여 도메인 인프라에 발판을 마련하고, 기존 제품이나 서비스와 같은 이름으로 악성 소프트웨어와 작업을 위장하는 방식으로 탐지를 회피하려는 모습을 보이고 있습니다.
결론 및 대응 방안
Twelve의 공격은 공공에서 쉽게 사용할 수 있는 맬웨어 도구를 기반으로 하며, 이는 방어 나침반을 마련할 수 있는 기회를 제공합니다. 조직 및 기업들은 이들의 공격 패턴을 분석하고, 적극적인 방어 대책을 마련해야 합니다. 사이버 보안 전문가는 공격이 이루어지는 과정을 주의 깊게 분석하여 이와 같은 도구에 대한 사전 대응을 강화해야 할 것입니다.
핵심 키워드 설명
- 해커 그룹 (Hacker Group): 특정 목표를 가지고 사이버 공격을 수행하는 집단으로, 경제적 이득이나 정치적 목적을 가지고 활동하는 경우가 많음.
- 사이버 공격 (Cyber Attack): 정보 시스템 또는 네트워크에 불법적으로 접근하여 데이터를 훔치거나 파괴하는 행위.
- RDP (Remote Desktop Protocol): 원격 사용자가 네트워크를 통해 다른 컴퓨터에 연결할 수 있도록 하는 프로토콜.
- 취약점 (Vulnerability): 소프트웨어나 시스템에 존재하는 결점을 의미하며, 이 결점을 악용해 공격을 시도할 수 있음.
이 정보가 도움이 되셨다면, 최신 사이버 보안 관련 소식을 계속 받아보세요!