이원영 기자
시스코 위협인텔리전스팀인 탈로스(Talos)가 사이버 공격을 할 때 사용되는 C&C(Command & Control) 서버를 쉽게 준비해주는 다크 유틸리티(Dark Utilities)라는 서비스 존재를 폭로했다. 이용료는 9.99유로로 3,000명이 등록하고 있다고 한다.
탈로스에 따르면 다크 유틸리티는 2022년 초 확립된 C2aaS(C2-as-a-Service) 모델 C2 플랫폼이다. 사이버 공격을 받은 피해자 시스템에서 실행되는 코드로 이뤄진 페이로드를 제공하고 피해자 시스템을 서비스에 등록해 C2 통신 채널을 설정한다. 윈도, 리눅스, 파이썬 기반 페이로드를 지원하며 공격자는 개발 리소스를 할당하지 않고도 여러 아키텍처를 대상으로 할 수 있다.
다크 유틸리티를 만든 건 인플렉스시스(Inplex-sys)라는 집단으로 디스코드와 텔레그램에서 지원을 제공하고 있다. 탈로스 조사에서 뚜렷한 특징은 알 수 없지만 활동 기간은 그다지 길지 않다고 한다. 또 이곳이 단독으로 관리, 개발했다는 징후도 없다고 한다.
조사에 따르면 스팀에서 인플렉스시스라는 이름이 사용되고 있어 다크 유틸리티를 홍보하는 동시에 디스코드나 트위치 공격에 사용되는 스마트봇(Smart Bot)에도 링크가 붙여지고 있었다고 한다. 이를 통해 스마트봇 프로젝트에 종사한 여러 개인이 인플렉스시스와 협력 관계에 있는 것으로 보인다.
덧붙여 플랫폼, 관련 페이로드와 API 엔드포인트에 프리미엄 액세스를 이용하기 위한 비용은 9.99유로이며 등록자수는 3,000명 정도다.
제공 기능 내용에 비해 비교적 저렴한 설정이어서 멀웨어를 독자 C2 구현으로 작성하지 않고 시스템을 침해하려는 공격자에게는 매력적으로 보일 가능성이 있어 앞으로 사용자 수는 증가할 것으로 보인다. 또 이런 종류 C2aaS 모델 플랫폼은 개발력이 그다지 높지 않은 공격자에게 고도 기능을 부여하는 것으로 다양한 운영체제를 표적으로 한 공격을 빠르게 시작할 수 있도록 하기 위해 기업이나 조직은 이런 플랫폼을 확실히 인식하고 보안 제어를 확실하게 구현해야 한다고 지적하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
