악명 높은 해커 그룹의 스파이웨어가 갑자기 다시 등장

카스퍼스키의 글로벌 연구 및 분석 팀(GReAT)은 HackingTeam의 후속 회사인 Memento Labs가 새로운 사이버 스파이 공격에 연루되어 있다는 증거를 발견했습니다.

구체적으로, 2025년 3월, Kaspersky GReAT은 Chrome의 제로데이 취약점 CVE-2025-2783을 악용하는 정교한 사이버 스파이 캠페인인 ForumTroll을 폭로했습니다.

이 캠페인을 주도한 단체는 프리마코프 리딩 포럼에 대한 초대장을 가장한 개인화된 피싱 이메일을 보내 러시아의 언론 매체, 정부, 교육 및 금융 기관을 표적으로 삼았습니다.

ForumTroll 캠페인을 조사하는 동안 연구원들은 LeetAgent 스파이웨어(2022년부터 존재)를 발견했습니다.

이 소프트웨어는 APT(고급 타겟 공격) 맬웨어에서는 흔치 않은 기능인 "leetspeak"로 작성된 제어 명령으로 유명합니다.

전문가들은 여러 사례를 관찰하고 분석한 결과, LeetAgent가 정교한 스파이웨어를 실행한 도구이거나 둘 다 동일한 로더 프레임워크를 사용했다고 결론지었습니다. 로더 프레임워크는 해커가 피해자의 시스템에 다른 악성 코드 구성 요소를 다운로드, 활성화 또는 배포하는 데 사용하는 로딩 프레임입니다.

덕분에 전문가들은 두 가지 유형의 맬웨어 간의 연관성과 공격 간의 연관성을 확인했습니다.

나머지 스파이웨어는 VMProtect 난독화 기술을 포함한 고급 분석 방지 기술을 사용하여 맬웨어를 숨깁니다. 그러나 카스퍼스키 전문가들은 소스 코드에서 맬웨어의 이름인 Dante를 추출하는 데 성공했습니다.

연구자들은 Dante가 HackingTeam의 후속 회사이자 리브랜딩된 회사인 Memento Labs에서 개발하고 홍보한 상업용 스파이웨어의 이름이라고 확인했습니다.

또한 카스퍼스키가 입수한 HackingTeam의 스파이웨어 원격 제어 시스템(RCS)의 최신 샘플 역시 단테와 뚜렷한 유사성을 보인다.

카스퍼스키 GReAT의 보안 연구 책임자인 보리스 라린은 상업용 스파이웨어 공급업체의 존재는 업계에 여전히 널리 알려져 있다고 말했습니다.

하지만 이러한 공급업체의 제품을 구하는 것은 쉽지 않으며, 특히 표적형 공격의 경우 더욱 그렇습니다.

보리스 라린은 "단테의 기원을 찾기 위해 우리는 난독화된 맬웨어의 각 층을 벗겨내고, 맬웨어 개발에 걸린 수년간의 희귀한 흔적을 따라가고, 이를 교차 참조하여 기원을 찾아야 했습니다."라고 밝혔습니다.

해킹팀(HackingTeam)이라는 이름의 이 해커 그룹은 2003년 여러 이탈리아인에 의해 설립되었습니다. 연구원들에 따르면, 이 그룹은 러시아어에 능통하고 현지 상황에 대한 깊은 이해를 가진 것으로 유명합니다.

출처: https://nld.com.vn/phan-mem-gian-diep-cua-nhom-hacker-khet-tieng-bat-ngo-xuat-hien-tro-lai-196251121182602181.htm