인텔리전스 기반 보안 업체인 파이어아이(FireEye: https://www.fireeye.com)는 지난 2018년 12월 APT39가 광범위한 개인정보 유출의 주범인 이란계 사이버 첩보 조직임을 확인했으며 APT39의 활동으로부터 조직들을 보호하기 위해 2014년 11월부터 지금까지 이 조직과 관련된 활동을 추적하고 있다. APT39는 광범위한 개인정보 도난에 중점을 두고 있어, 영향 공작 (influence operations), 와해성 공격(disruptive attack) 및 기타 위협과 연관되어 파이어아이가 추적해온 여타 이란계 조직들과 구별된다. APT39는 이란의 국가적 우선순위와 관련된 모니터링, 추적, 또는 감시 작전에 도움을 주거나 미래의 공격활동을 용이하게 하기 위한 추가적인 액세스 및 요소(vector)의 개발 가능성을 도모하기 위해 개인정보에 초점을 두는 것으로 보인다.

‘APT39’란 위에서 언급된 특정 공격주체가 사용한 여러 활동과 방법들을 총괄하기 위해 만든 이름으로, 이 조직의 활동은 대중에게 ‘샤퍼(Chafer)’라고 알려진 단체의 활동과 대체로 연관이 있다. 그러나 각 단체 활동에 대한 추적 현황의 편차 때문에 공개적으로 알려진 내용에서 차이점이 나타난다. APT39는 주로 시위드(SEAWEED) 및 캐시머니(CACHEMONEY) 백도어와 ‘POWBAT’ 백도어의 특정 변종을 활용한다. APT39의 타겟 범위는 전 세계이나 활동은 중동에 집중되어 있다. APT39는 통신분야에 우선순위를 두며 이를 지원하는 IT 기업, 첨단기술 업계와 여행업계도 표적으로 하고 있다.

APT39가 통신 및 여행업계에 중점을 두고 있다는 사실을 토대로 이 조직이 특정 개인들에 대한 모니터링, 추적, 감시가 목적이라고 추정할 수 있다. 이들은 또한 국가 우선 순위 관련 전략 요건에 사용될 만한 상업, 또는 작전 상의 목적을 위한 독점적인 데이터 또는 고객 개인정보를 수집하고, 또는 미래의 공격을 위한 추가적인 액세스 및 요소를 개발하려는 의도를 갖고 있음을 시사한다. 또한, 정부 기관을 대상으로 삼고 있다는 점은 민족국가(nation-state)의 의사결정을 위한 지정학적인 데이터 수집을 이차적인 목표로 삼을 가능성을 암시한다. 이들이 목표로 하는 데이터는 APT39의 핵심 임무가 관심 대상의 추적 또는 감시, 여행 일정 등의 개인정보 수집, 통신업체로부터의 고객 데이터 수집이라는 확신을 뒷받침하고 있다.

파이어아이는 APT39의 공작들이 이란의 국익을 지원하기 위해 수행되고 있다고 어느 정도 확신하고 있으며, 이는 중동에 집중된 지역편중, 그리고 공개적으로 ‘오일리그(OilRig)’라고 보도된 세력과 대략적으로 공조를 이루는 APT34과 유사한 인프라, 활동 시기, 기타 유사점들을 근거로 한다. APT39와 APT34는 악성코드 배포 방식, POWBAT 백도어 활용, 인프라 명명법, 타겟 중복 등 일부 유사점을 보이지만 파이어아이는 APT39이 APT34와 다른 POWBAT 변종을 이용한다는 점에서 둘을 별개의 조직으로 파악하고 있다. 이 두 조직이 협력관계에 있거나 어느 단계에서 자원을 공유할 가능성은 있다.

APT39는 공격 수명주기의 모든 단계에서 다양한 맞춤형 및 공개적으로 구입 가능한 악성코드와 툴을 활용한다.

- 초기 침해 (Initial Compromise): 초기 침해와 관련하여 파이어아이는 악성코드 또는 POWBAT 감염을 일으키는 하이퍼링크 등이 첨부된 스피어 피싱 (spear phishing) 이메일을 통한 APT39의 공격을 목격했다. APT39는 합법적인 웹 서비스로 가장한 도메인들과 의도된 타겟에 관련된 단체들을 자주 이용한다. 또한 이 조직은 흔히 타겟 기관들의 취약한 웹 서버를 찾아내 ANTAK과 ASPXSPY 같은 웹셸(web shell)을 설치하고 훔친 합법 계정(legitimate credentials)을 이용하여 외부 사용자도 활용 가능한 아웃룩 웹 액세스 (Outlook Web Access: OWA) 리소스를 해킹하고 있다.

- 거점 구축, 권한 상승, 내부 정찰: 초기 침해 이후, APT39은 시위드, 캐시머니 또는 특별한 POWBAT 변종 등의 맞춤형 백도어를 활용해 타겟 환경에 거점을 구축한다. ‘권한 상승(privilege escalation)’ 단계에서는 윈도우 크리덴셜 에디터(Windows Credential Editor)나 ProcDump 같은 합법적인 툴 이외에도 미미카츠(Mimikatz)와 Ncrack 등 무료로 공개되어 있는 툴들이 활용되고 있다. ‘내부 정찰(internal reconnaissance)’에는 맞춤형 스크립트와 포트 스캐너(port scanner)인 블루토치(BLUETORCH)를 비롯한 공개형, 맞춤형 툴들이 이용된다.

- 측면이동, 상태 유지 및 임무 완수: APT39는 원격 데스크톱 프로토콜(Remote Desktop Protocol: RDP), 시큐어 셸 (Secure Shell: SSH), PsExec, RemCom, xCmdSvc 등 수많은 툴을 통해 측면이동(lateral movement)을 촉진시킨다. 레드트립(REDTRIP), 핑크트립 (PINKTRIP), 블루트립(BLUETRIP) 같은 맞춤형 툴들도 감염된 호스트들 사이에서 SOCKS5 프록시를 생성시키기 위해 이용된다. APT39는 RDP를 측면이동 뿐만 아니라 타겟 환경에서 활동 유지를 위한 프로토콜로도 활용한다. 임무 완수를 위해 APT39는 보통 훔친 데이터를 WinRAR 또는 7-Zip 등의 압축 툴로 압축 및 보관한다.

APT39가 네트워크 보안업체들의 탐지를 우외하기 위해 운영 보안(operational security)을 이용하고 있다는 징후가 일부 나타나고 있다. 예를 들면 바이러스 탐지 기능을 막기위해 업데이트된 미미카츠의 수정 버전을 이용한 사례, 초기 액세스 후 탐지를 피하기 위해 APT39가 침해된 타겟의 환경 외부에서 계정 추출(credential harvesting)을 한 사례가 발견되었다.

파이어아이는 APT39의 표적이 통신 및 여행업계에 편중된 것이 미래의 공격을 원활히 하기 위한 감시 목적으로 관심 타겟에 대한 개인정보와 고객 데이터 수집하려는 의도를 반영한다고 보고 있다. 통신업체들은 대량의 개인 및 고객 정보를 보관하고, 통신에 이용되는 주요 인프라 접근이 용이하며, 다수의 업계에서 폭넓은 잠재적인 타겟에 대한 접근이 가능하기 때문에 주목받는 타겟이 된다. APT39의 타겟 선정은 알려진 표적 업계들에 대한 위협을 의미할 뿐만 아니라, 해당 조직의 모든 고객들로까지 확대되며 여기에는 전 세계에 걸친 수많은 업계와 개인이 포함된다. APT39의 활동은 이란의 대외 공작의 잠재적인 범위를 시사하며, 이란이 국가안보의 위협으로 인식되는 대상에 대한 원활한 핵심 정보 수집과 지역 및 세계 경쟁자에 대한 우위를 얻기 위한 저비용의 효과적 수단으로써 사이버 공작을 어떻게 활용하는지 보여준다.