전쟁은 해킹 조직도 손잡게 한다?
- 러시아의 가마레돈과 털라, 손 잡은 듯
- 가마레돈 도구 통해 털라 해킹 무기 퍼져
- 피해자들이 피해 규모 밝혀야 알 수 있어
우크라이나를 겨냥해 두 개의 러시아 해킹 그룹이 힘을 합친 정황이 발견됐다. 보안 기업 이셋(ESET)에 의하면 가마레돈(Gamaredon)과 털라(Turla)가 현재 손을 잡은 것으로 보인다고 하는데, 그 이유는 동일한 엔드포인트에서 둘이 자주 사용하는 해킹 도구들이 한꺼번에 발견됐기 때문이다. 우연히 같이 있었다는 게 아니라, 하나가 다른 하나를 설치하고 있었다고 한다.
무슨 일 있었나
문제의 도구들은 프테로그래핀(PteroGraphi)과 프테로오드(PteroOdd), 그리고 카주아(Kazuar)다. 프테로 시리즈는 가마레돈이, 카주아는 털라가 사용하던 도구다. 이셋이 발견한 건 프테로그래핀과 프테로오드가 카주아를 설치한 흔적이었다. “털라가 카주아 백도어를 설치하기 위해 가마레돈에 도움을 요청하거나 협약을 맺은 것으로 보입니다.”
이셋의 보고서에 따르면 카주아 3는 주로 프테로그래핀에 의해서, 카주아 2는 주로 프테로오드를 통해서 유포되거나 피해자 시스템 내에서 발동되었다고 한다. “프테로그래핀은 털라가 피해자 시스템 내에서 어떤 이유로든 동작을 멈췄을 때 다시 시동을 걸기도 했습니다. 즉 털라가 가마레돈의 무기를 일종의 복구 도구로 활용한 것입니다.”
가마레돈은 아쿠아블리자드(Aqua Blizzard)나 아마겟돈(Armageddon)이라고도 불린다. 털리는 시크릿블리자드(Secret Blizzard)나 베노머스베어(Venomous Bear)라고도 불린다. 눈보라라는 뜻의 블리자드나 곰이라는 뜻의 베어가 이름에 붙은 해킹 조직은 주로 러시아에 귀속되어 있음을 가리킨다. 눈보라와 곰 모두 러시아를 상징하기 때문이다. 이란의 해커들에는 고양이 관련 단어가 붙을 때가 많고, 베트남 쪽 해커들에는 연꽃이라는 단어가 자주 동반된다.
가마레돈보다 털라가 APT 조직으로서는 훨씬 선배다. 가마레돈은 2013년부터 활동해 온 것에 반해 털라는 2004년부터 알려져 왔기 때문이다. 사실 발견된 게 2004년이지 털라가 90년대 후반부터 활동해 왔다는 주장도 존재한다. 두 조직 다 유럽과 중앙아시아, 중동을 주로 공략해 왔으나 요 몇 년은 우크라이나에 집중해 왔다.
자주 사용되는 멀웨어들
카주아는 털라를 대표하는 멀웨어 중 하나다. 털라도 꾸준히 카주아를 업데이트 해서 사용한다. 카주아는 백도어이자 로더이기도 한데, 그 동안 타브딕(Tavdig)이나 여러 닷넷 기반 해킹 도구들을 피해자 시스템에 설치하는 데 활용됐다. 카주아가 최초로 발견된 건 2016년이라고 알려져 있다.
이번에 발견된 건 2와 3인데, 이셋은 둘이 거의 같다고 말한다. “두 버전 모두 동일한 코드베이스를 가지고 있습니다. 다만 3이 2보다 C# 라인이 약 35% 더 많고요. 웹 소켓과 익스체인지 웹 서비스(EWS)를 통한 전송 기술이 추가로 도입됐다는 차이가 있습니다.”
프테로그래핀과 프테로오드는 가마레돈이 직접 개발한 것으로 알려진 멀웨어들이다. 시리즈가 계속해서 나오고 있으며, 프테로페이스트(PteroPaste)와 프테로LNK(PteroLNK)라는 것도 존재한다. 프테로그래핀은 엑셀을 이용해 공격 지속성을 확보하는 도구다. 텔레그램 API를 C&C로서 활용한다는 특성을 가지고 있다. 파워셸을 기반으로 하고 있다. 2024년 8월에 처음 발견됐다.
이번 캠페인에서 가마레돈이 어떤 식으로 피해자 컴퓨터에 접근했는지는 확실히 알 수 없지만 이전 캠페인에서 이들은 프테로LNK와 같은 도구를 사용한 적이 있었다. 악성 바로가기 파일(LNK)을 동반한 스피어피싱 공격이었다. “이번에도 비슷한 수법이 사용됐을 가능성이 높아 보입니다.”
어떤 피해 입혔나
지난 18개월 동안 우크라이나 내 7대 기기에서 털라가 발견됐다고 이셋은 설명한다. 그런데 그중 4대에서 가마레돈의 흔적이 같이 나왔다고 한다. “가마레돈이 이 4대를 침해한 건 올해 1월의 일입니다. 그러고 나서 2월부터 이 시스템들에 카주아 3가 유포되기 시작했습니다.”
이 공격 과정을 순서대로 풀어보면 다음과 같다.
1) 가마레돈이 프테로그래핀을 설치(방법은 아직 모름)
2) 프테로그래핀이 프테로오드(파워셸 기반 다운로더)를 설치
3) 프테로오드가 컴퓨터 이름과 시스템 드라이브 관련 정보를 수집해 유출
4) 프테로오드가 카주아를 설치하고 실행
“이런 식의 위협이 3월과 4월, 6월에도 계속해서 탐지됐습니다. 그러면서 프테로오드와 거의 비슷하나 살짝 다른 프테로에피지(PteroEffigy)가 발견되기도 했습니다. 카주아 3 외 2번 버전이 유포되기도 했고요.” 이셋의 설명이다.
카주아가 우크라이나의 시스템에서부터 어떤 정보를 빼갔는지는 아직 확실히 알 수 없다. 이는 피해자들이 적극 협력해 자체 조사를 통해 밝히고 투명하게 공개해야 알려지는 사안이다. 러시아는 우크라이나와 아직 전쟁 중이며, 초기에는 정보 탈취와 더불어 ‘정보 삭제 멀웨어’를 자주 사용하기도 했었다.
Related Materials
- Gamaredon X Turla collab - ESET Research, 2025년
- Russian Hackers Gamaredon and Turla Collaborate to Target Ukraine - The Hacker News, 2025년
- Russian State Hackers Collaborate in Attacks Against Ukraine - Infosecurity Magazine, 2025년
- Turla and Gamaredon Working Together in Fresh Ukrainian Intrusions - SecurityIT, 2025년
문가용 기자
문가용 기자
![[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다](https://images.unsplash.com/photo-1762468046498-461933328de6?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIyfHxjaXRpemVuc2hpcHxlbnwwfHx8fDE3Njc4ODE0NjR8MA&ixlib=rb-4.1.0&q=80&w=600)
