러시아 겨냥한 백도어 이글렛, 다른 나라에도 불똥 튈라
- 러시아 군 기관들 겨냥한 이글렛 백도어
- 배후 세력은 아직 확실치 않으나 우크라이나 의심돼
- 러시아-우크라이나 사이 사이버전, 다른 나라로도 퍼져
러시아 군 관련 조직들을 겨냥한 백도어 유포 캠페인이 발견됐다. 항공우주 및 국방 산업 내 조직들로부터 데이터를 훔쳐내는 게 공격자들의 목표인 것으로 보인다. 이 캠페인에서 사용된 백도어는 이글렛(EAGLET)이라고 보안 업체 세크라이트(Seqrite)는 밝혔다. 캠페인 자체에는 카고탈론 작전(Operation CargoTalon)이라는 이름이 붙었다. 배후 세력의 정체는 아직 확실하지 않아 UNG901(미확인 그룹 901)이라는 임시 이름이 할당됐다.
세브라이트는 “카고탈론 작전은 러시아 항공기 제조 분야의 중요 단체 중 하나인 보로네즈항공기생산협회(VASO)의 직원을 대상으로 진행됐다”고 발표했다. “러시아 물류 운영 계통에서 필수적으로 사용되는 포맷의 문서가 미끼로 활용됐습니다. 공격자들이 러시아 내부 사정을 꽤나 잘 알고 있다고 볼 수 있습니다.”
공격 순서는 다음과 같았다.
1) 집(Zip) 아카이브가 첨부된 스피어피싱 이메일을 피해자에게 보낸다.
2) 이 이메일은 화물 배송과 관련된 내용을 담고 있다.
3) 집 아카이브에는 파워셸이 포함돼 있는데,
4) 이 파워셸은 화면에 MS 엑셀 문서를 뛰우고
5) 배경에는 이글렛 DLL 임플란트를 피해자 컴퓨터에 심는다.
6) 이 임플란트의 경우, 집 파일 내 악성 LNK 파일을 통해 설치된다.
“위장 문서는 러시아 철도 컨테이너 터미널 운영업체인 오블트란스터미널(Obltransterminal)에서 보낸 것처럼 꾸며져 있습니다. 참고로 이 업체는 2024년 2월 미국 재무부가 제재 대상으로 지정하기도 했습니다.” 세크라이트의 설명이다.
피해자 시스템에 설치된 이글렛은 제일 먼저 시스템 정보를 수집한다. 그런 후 원격 서버와 통신 연결을 시도하여, 공격자가 전송하는 윈도 명령어를 받는다. “이글렛은 파일 업로드와 다운로드 기능을 가지고 있습니다. 아마 공격자의 서버에서부터 추가 멀웨어를 받아 설치하는 것으로 보입니다. 하지만 현재 이 C&C 서버가 오프라인 상태라 조사를 더 할 수가 없었습니다. 그래서 그 최종 페이로드가 무엇인지는 정확히 알 수가 없습니다.”
이야기는 여기서 끝나지 않는다. 세크라이트가 이글렛을 추적하다가 여러 면에서 유사한 또 다른 캠페인을 발견했기 때문이다. “이 두 번째 캠페인의 경우, 러시아 국방 분야를 겨냥하고 있었습니다. 헤드메어(Head Mare)라는 공격 단체가 배후에 있는 것으로 의심되고 있습니다. 공격에 사용되는 멀웨어의 소스코드도 비슷하고, 공격 대상들도 비슷하기 때문입니다. 하지만 결정적 증거가 확보되지 않아 지금은 의심만 하고 있습니다.”
공격자에 대해서는 아직 알 수 없지만, 러시아 국방 산업을 겨냥했다는 것만 보면 우크라이나일 가능성이 높아 보인다. 혹은 우크라이나를 돕는 서방 국가들의 해커들일 수도 있다. 하지만 이 역시 결정적 증거가 없어 의혹으로만 남아 있다.
한편 러시아의 해킹 조직인 UAC0184는 얼마 전 우크라이나 조직들을 대상으로 멀웨어 유포 작전을 펼치기도 했었다. 이 때 사용된 멀웨어는 렘코스랫(Recoms RAT)이라는 원격 접근 트로이목마였다. UAC0184는 2024년부터 렘코스랫을 꾸준히 유포해 왔다.
러시아와 우크라이나 사이 전쟁이 발발하면서 해킹 공격이 끊임없이 교환되고 있다. 러시아는 전쟁 초기 삭제형 멀웨어(일명 와이퍼(wiper))를 주로 사용했고, 우크라이나는 핵티비스트들을 끼고 디도스 전략을 활용했었다. 문제는 이러한 멀웨어들이 러시아나 우크라이나 사이버 공간에만 얌전히 머물러 있지 않았다는 것이다. 의도적인지 아닌지는 불확실하지만, 이 두 나라가 주고받는 사이버 캠페인에서 파생된 멀웨어들은 다른 나라들에서도 발견되어 왔다.
그렇기 때문에 이글렛이나 렘코스랫의 경우 다른 나라들도 경계해야 할 필요가 있다고 세크라이트는 경고한다. “두 멀웨어 모두 악성 LNK 파일을 통해 퍼진다는 공통점을 가지고 있습니다. 악성 LNK 파일은 다양한 공격 사례에서 발견된 주요 기법이기도 하니, 이를 미리 탐지하여 방어할 수단을 갖추는 게 안전합니다.”
Related Materials
- Cyber Espionage Campaign Hits Russian Aerospace: EAGLET Backdoor Used Against Defense Sector - The Hacker News , 2025년
- Operation CargoTalon Targets Russian Aerospace & Defense with EAGLET Backdoor - GBHackers , 2025년
- Operation CargoTalon targets Russia’s aerospace with EAGLET malware - Security Affairs , 2025년
- Targeted Cyber Espionage Campaign Strikes Russian Aerospace with EAGLET Backdoor - Nubetia , 2025년
