[아이티비즈] 파이어아이 위협 인텔리전스 팀(FireEye Threat Intelligence)과 마이크로소프트의 위협 인텔리전스 센터(Microsoft Threat Intelligence Center)가 마이크로소프트의 테크넷(TechNet) 포탈 사이트에서 전술적으로 위장한 CnC서버를 밝혀냈다. 테크넷은 전문적인 IT 내용으로 구성된 가치 있는 웹 포탈 사이트이다.
이번에 발견된 위협 그룹은 '블랙커피(BLACKCOFFEE)'라는 변종 멀웨어를 사용하기 위해 인코딩된 CnC (Command-and-Control 서버를 숨겨 놓았다. 이를 위해 위협 그룹은 테크넷에 프로필을 생성하고 ‘포럼’ 페이지에 포스팅 할 수 있는 권한을 이용했다. 해당 기술은 네트워크 보안 전문가들이 CnC서버의 실제 위치를 구분하기 어렵게 만들 뿐 아니라 CnC 서버 인프라가 더욱 오랜 시간 동안 활성화하는데 도움을 준다. 테크넷 사이트는 이 기술로 인해 보안 상황이 위태로웠다.
파이어아이는 '데퓨티 독(Deputy Dog)'이라고 불리는 중국을 기반으로 한 APT그룹인 APT17이 배후에서 활동한 것으로 추측했다. 이들은 2013년부터 블랙커피(BLACKCOFFEE)를 사용했으며, 파이어아이는 APT17이 미국 정부는 물론이고 국제적인 로펌과 정보기술 회사를 대상으로 네트워크 침해행위를 시도했다고 판단했다. 이번에 파이어아이는 블랙커피(BLACKCOFFEE)의 흔적지표(Indicators of Compromise; IoCs)와 마이크로소프트의 안티 악성코드 제품의 시그니처를 공개했다.
파이어아이와 마이크로소프트는 인코딩된 데이터를 테크넷 페이지에 주입해 멀웨어와 해킹 피해자들에 대한 인사이트를 얻을 수 있었다.
이 정보는 기업 보안담당자들이 공격의 정체를 밝히기 위한 시그니처를 제공할 뿐 아니라 이에 대한 안티 바이러스 커뮤니티를 형성하고 블랙커피(BLACKCOFFEE)에 의해 감염된 시스템을 정화시키는데 도움을 줄 것이다.
또한, 다른 포럼에 정보를 전달함으로써 블랙커피(BLACKCOFFEE)에 대한 관리자들의 경각심을 일깨워 줄 수 있다. 파이어아이는 해당 방법을 사용한 위협 그룹들과 다른 커뮤니티 사이트에도 이 기술이 사용되고 있는지를 지속적으로 관찰하고 있다.
사이버 위협 인텔리전스의 협업은 네트워크 보안 연구원들 활용해 보다 혁신적인 해결첵을 제시할 수 있습니다.
파이어아이 위협 인텔리전스 팀과 마이크로소프트 위협 인텔리전스 센터는 앞으로도 네트워크 사용자들을 보호하기 위한 방법을 찾기 위한 노력을 계속할 것입니다.
