[출처=픽사베이]
[출처=픽사베이]

[전국뉴스=이화진 기자] 유럽과 아시아의 정부·기업 조직을 지속적으로 공격해온 것으로 알려진 고급지속위협(APT) 그룹 ‘ToddyCat’이 기업 이메일을 탈취하기 위해 새로운 도구와 기술을 동원하고 있는 것으로 확인됐다.

보안업체 카스퍼스키(Kaspersky)는 최근 보고서에서 이 그룹이 OAuth 토큰 탈취, 브라우저 자격 증명 복호화, Outlook 데이터베이스 강제 복사 등 다양한 방식으로 기업의 민감한 메일 데이터를 확보하려 하고 있다고 경고했다.

카스퍼스키는 ToddyCat이 사용자 브라우저를 통해 OAuth 2.0 인증 토큰을 탈취하는 새로운 공격 방식을 채택했다고 밝혔다.

해당 토큰이 유출될 경우, 공격자는 조직의 내부망에 진입하지 않고도 외부에서 기업 이메일 계정에 직접 접근할 수 있다.

ToddyCat은 2020년부터 활동이 포착된 APT 조직으로, 그동안 Google Chrome과 Microsoft Edge 등 주요 브라우저에서 쿠키·로그인 정보를 훔치는 도구 ‘Samurai’, ‘TomBerBil’ 등을 사용해 공격을 이어왔다.

올해 4월에는 ESET 명령줄 스캐너(CVE-2024-11859) 취약점을 악용해, 문서화되지 않았던 악성코드 ‘TCESB’를 배포한 흔적도 발견됐다.

이어 5~6월 공격에서는 TomBerBil의 PowerShell 기반 변종이 탐지됐는데, 이는 기존 C++ 및 C# 버전과 달리 Mozilla Firefox에서 브라우저 데이터까지 수집할 수 있는 기능을 갖춘 것으로 분석됐다.

특히 이 변종은 도메인 컨트롤러 등 권한 높은 시스템에서 실행되며, SMB 프로토콜 기반 공유 자원에 저장된 브라우저 파일까지 접근할 수 있는 것으로 나타났다.

카스퍼스키에 따르면 ToddyCat은 브라우저 계정 정보를 보호하는 Windows DPAPI 암호화 체계까지 우회하는 기술을 확보하고 있는 것으로 보인다.

과거에는 감염된 사용자 계정의 세션 토큰을 직접 복사해 브라우저 정보를 복호화했지만,

최근 서버 버전에서는 **DPAPI 복호화에 필요한 암호화 키 파일 자체를 수집하는 방식으로 발전했다.

이를 통해 공격자는 피해 시스템 외부에서도 쿠키·세션 값·저장된 비밀번호를 복호화할 수 있어 위험성이 크다는 설명이다.

가장 주목되는 변화는 ToddyCat이 기업 이메일 탈취를 위해 ‘TCSectorCopy(xCopy.exe)’라는 맞춤형 도구를 사용하고 있다는 점이다.

기업 이메일의 저장 구조적 특성을 이용한 고도화된 공격이며, 조직 내부 커뮤니케이션 전체가 노출될 수 있는 심각한 위협이다.

피해자가 Microsoft 365 클라우드 메일 서비스를 사용 중인 경우, ToddyCat은 메모리에서 인증 토큰(JWT)을 직접 획득하려고 시도했다.

이를 위해 오픈소스 도구 ‘SharpTokenFinder’를 사용했으나, 일부 시스템에서는 보안 솔루션이 이를 차단한 것으로 확인됐다.

그러자 공격자는 이를 우회하기 위해 Microsoft의 진단 도구 ProcDump를 활용해 Outlook 프로세스 메모리를 덤프하는 기법을 사용한 것으로 분석됐다.

카스퍼스키는 ToddyCat의 행동을 다음과 같이 요약했다. “ToddyCat APT 그룹은 공격 기법을 지속적으로 발전시키고 있으며 침해된 인프라 내부에서 은밀하게 기업 서신에 접근하는 방법을 끊임없이 탐색하고 있다.”

전문가들은 ToddyCat이 다양한 공격 경로와 복호화 기술을 결합해 기업 이메일 접근을 핵심 목표로 삼고 있다며, 브라우저 보안 강화·OAuth 관리·Outlook 데이터 보호 등 전반적인 보안 체계 강화가 필요하다고 지적한다.

 

저작권자 © 전국뉴스 무단전재 및 재배포 금지