새 러시아 해킹 조직? 컬리콤레이즈 발각돼

새로운 사이버 공격 조직이 발견됐다. 컬리콤레이즈(Curly COMrades)라고 보안 업체 비트디펜더(Bitdefender)는 이름을 붙여 추적 중에 있다. 이들은 현재 조지아와 몰도바의 여러 조직들을 공략 중에 있다고 비트디펜더는 경고했다. 공격의 목적은 데이터 탈취인 것으로 추정되고 있다. 데이터베이스에 저장된 데이터, 사용자 크리덴셜, 각종 비밀번호 등이 주요 표적이라고 한다. 

비트디펜더가 발표한 보고서에 의하면 컬리콤레이즈의 악성 캠페인을 추적한 건 2024년 중반부터라고 한다. 당시 컬리콤레이즈는 조지아의 정부 기관들과 몰도바의 에너지 기업 하나를 공격하고 있었고, 비트디펜더는 이 악성 캠페인을(컬리콤레이즈가 아니라) 모니터링 해 오다가 배후에 여태까지 한 번도 발견되지 않은 조직이 있다는 결론을 최근에서야 내렸다. 또한 해당 악성 캠페인은 2024년 중반 이전부터 시작된 것으로 분석됐다. “2023년 11월보다도 전일 수 있습니다.”

조지아와 몰도바라면 러시아의 APT 조직들이 주로 공격하는 국가들이다. 비트디펜더는 ‘컬리콤레이즈가 러시아의 해킹 조직이다’라고까지 분명하게 말하고 있지는 않지만, “러시아 정부가 추구하는 지정학적 목표나 전략과, 컬리콤레이즈의 움직임이 상당히 많이 일치한다”는 식으로 표현했다.

비트디펜더에 의하면 컬리콤레이즈는 많은 해킹 조직들이 일반적으로 사용하는 기술과, 자신들만의 독특한 맞춤형 기술도 사용할 줄 안다고 한다. “필요한 때에 필요한 테크닉을 부릴 줄 안다는 뜻입니다. 그렇게 함으로써 상당히 은밀하게 움직이는 결과를 낳습니다. 점진적으로 시스템에 접근해 영향력을 확대하며, 이 과정에서 노이즈를 최소한으로만 발생시킵니다. 탄력적이고, 탐지하기 힘듭니다. 정보 탈취를 오래 하기 위해 이런 방향으로 전략을 수행하는 것으로 추정됩니다.”

눈에 띄는 건 ‘합법적 도구의 악의적 활용’이다. 특히 리속스(Resocks), SSH, 스터넬(Stunnel)과 같은 정상 도구를 자주 사용하는 편이라고 비트디펜더는 보고서를 통해 밝혔다. “피해자 시스템에 이미 있는 이런 도구들을 사용해 내부 네트워크에 자신들만의 경로를 여럿 만들고, 원격에서 명령을 실행하기도 했습니다. 정상 도구를 사용했으니 악성으로 분류되지도, 탐지되지도 않습니다. 단, 컬리콤레이즈가 어떻게 피해자 장비에 최초로 접근했는지는 아직 정확히 알 수 없습니다.”

여기까지는 난이도가 높긴 하지만 다른 해커들도 자주 사용하는 기법이라고 할 수 있다. 반면 무코에이전트(MucorAgent)라는 멀웨어는 컬리콤레이즈가 이번 캠페인을 위해 맞춤형으로 만든 백도어다. 요소 객체 모델 클래스(COM)를 식별하는 고유 식별자 정보 CLSID를 탈취하는 기능을 가지고 있다고 한다. “이미 알려져 있는 전략으로 피해자 시스템 내부에서 움직인 뒤, 훔칠 것이 발견되면 커스텀 멀웨어를 투입시키는 흐름입니다.”

그 외에도 컬리콤레이즈가 공격에 사용한 도구들이 다음과 같이 공개됐다.

1) 컬캣(CurlCat) : C&C 서버 간 양방향 데이터 전송을 HTTPS를 통해 수행하는 도구. 트래픽을 침해된 사이트 통해 라우팅한다. 
2) 루랫(RuRat) : 지속적 접근을 위한 원격 모니터링 및 관리 프로그램으로, 정상 도구이지만 공격에 악용되기도 한다. 이번 캠페인에서처럼.
3) 미미캐츠(Mimikatz) : 메모리에서 크리덴셜 정보를 추출한다. 다른 여러 공격 단체들이 자주 활용하는 도구다.
4) 각종 내장 명령어들 : netstat, tasklist, systeminfo, ipconfig, ping 등
5) curl : 탈취한 데이터를 유출시키는 데 사용된다.

Related Materials

• New 'Curly COMrades' APT Using NGEN COM Hijacking in Georgia, Moldova Attacks - The Hacker News, 2025년
• New Russian-aligned hacking group targeting Eastern Europe infrastructure: Curly COMrades discovered - TechDigest, 2025년
• Russian-Linked Curly COMrades Deploy MucorAgent Malware in Eastern Europe - HackRead, 2025년
• A New Threat Actor Targeting Geopolitical Hotbeds: Bitdefender uncovers Curly COMrades - Bitdefender Business Insights, 2025년

러시아, 인터넷 통제 강화…국산 메신저 ‘MAX’ 의무화 추진

💡Editor Pick - 러시아 메신서 ‘MAX’ 설치 의무화로 인턴넷 통제 시도 의혹 - WhatApp, Telegram의 입지 위협 받고 있음 - 러시아 하원 IT위원회 부위원장 WhatsApp 시장 퇴출 가능성 언급 러시아가 인터넷 통제 수위를 크게 높이며 국가 주도 인터넷 체계를 확대하고 있다. 2025년 7월, 푸틴 대통령은 새로운 법안에 서명해 러시아 내

The Tech EdgeDonghwi Shin

러시아의 시크릿블리자드, 러시아 주재 대사관들 공격

💡Editor’s Pick - 러시아 시크릿블리자드, 외교 시설 공략 - 중간자 공격 실시...원래 이 방면 전문가 - 러시아에 대사관 있는 나라, 점검해야 러시아의 APT 조직인 시크릿블리자드(Secret Blizzard)가 대사관들을 공략하고 있다는 소식이다. 그것도 러시아 영토 내에 주재하고 있는 시설들이 주요 표적이라고 마이크로소프트(Microsoft)의 보안 팀이 밝혔다. 이 캠페인에서

The Tech EdgeJustAnotherEditor

러시아 겨냥한 백도어 이글렛, 다른 나라에도 불똥 튈라

💡Editor’s Pick - 러시아 군 기관들 겨냥한 이글렛 백도어 - 배후 세력은 아직 확실치 않으나 우크라이나 의심돼 - 러시아-우크라이나 사이 사이버전, 다른 나라로도 퍼져 러시아 군 관련 조직들을 겨냥한 백도어 유포 캠페인이 발견됐다. 항공우주 및 국방 산업 내 조직들로부터 데이터를 훔쳐내는 게 공격자들의 목표인 것으로 보인다. 이 캠페인에서 사용된 백도어는

The Tech EdgeJustAnotherEditor