전 세계적으로 유명한 사이버 첩보 그룹 ‘더 마스크(The Mask)’ 또는 ’카레토(Careto)’가 10년 만에 다시 활동을 재개한 정황이 포착됐다.
최근 카스퍼스키(Kaspersky) 연구진이 발표한 보고서에 따르면, 이 그룹은 라틴아메리카와 중앙아프리카 지역의 특정 조직을 대상으로 한 정교한 공격을 진행한 것으로 확인됐다.
10년의 공백을 깨고 돌아온 더 마스크
더 마스크는 2007년부터 2013년까지 활동하며, 정부 기관, 외교 공관, 에너지 회사 등 전 세계 31개국의 고위 기관 380곳 이상을 침해한 것으로 알려졌다. 이 그룹은 2014년 카스퍼스키(Kaspersky)에 의해 처음 세상에 드러났으며, 정교한 악성코드와 은밀한 활동 방식으로 악명을 떨쳤다.
2022년, 더 마스크는 라틴아메리카의 한 조직을 대상으로 한 공격에서 다시 모습을 드러냈다. 이 조직은 2019년에도 동일한 그룹에 의해 공격받은 전력이 있는 곳으로 밝혀졌다.
2022년 공격의 구체적 수법
더 마스크는 공격 초기, 해당 조직의 MDaemon 이메일 서버의 WorldClient 웹메일 컴포넌트를 활용해 지속성을 확보했다. 공격자는 WorldClient 서버에서 사용자 정의 악성 확장을 로드하도록 설정하여 HTTP 요청을 통해 시스템과 상호작용할 수 있었다.
이 과정에서 공격자는 ’페이크HMP(FakeHMP, hmpalert.dll)’로 명명된 백도어를 활용했다. 이 백도어는 정품 소프트웨어인 히트맨프로(HitmanPro) 알림 드라이버(hmpalert.sys)의 취약점을 악용해 악성 DLL을 시스템 시작 시 권한이 높은 프로세스에 주입했다. 이를 통해 공격자는 키로깅, 파일 접근, 추가 악성코드 배포 등 다양한 악성 행위를 수행할 수 있었다.
2019년 공격에서 사용된 악성코드 프레임워크
2019년, 더 마스크는 두 가지 주요 악성코드 프레임워크를 활용한 것으로 드러났다.
-카레토2(Careto2): 2007년부터 2013년까지 사용된 모듈형 악성코드의 업그레이드 버전으로, 스크린샷 캡처, 파일 변경 모니터링, 데이터 탈취 등의 기능을 수행했다. 공격자는 이를 통해 마이크로소프트 원드러이브에 데이터를 전송했다.
-고레토(Goreto): Google Drive를 명령 및 제어(C2) 서버로 활용하는 고랭(Golang) 기반 도구 세트로, 명령 실행, 파일 업로드 및 다운로드, 페이로드 배포 등 다양한 기능을 지원했다. 또한 키로깅 및 스크린샷 캡처 기능도 포함돼 있었다.
카스퍼스키는 과거의 전술, 기술, 절차(TTPs)와 현재의 공격 사이에서 상당한 유사성을 발견하며, 더 마스크가 다시 활동하고 있다는 점에 중간~높은 신뢰도로 판단했다. 특히 동일한 파일 이름과 플러그인 구조를 재활용하고, 과거에 공격했던 조직을 다시 겨냥한 점이 이를 뒷받침한다.
더 마스크의 귀환은 사이버 위협이 얼마나 오랫동안 잠복할 수 있는지를 보여주는 사례다. 특히 고도로 정교한 기술과 도구를 보유한 공격 그룹은 단순히 잊힌 존재가 아니라 언제든 새로운 위협으로 등장할 수 있다.
더 마스크의 재등장은 첨단 보안 위협에 대비하기 위한 지속적 모니터링과 위협 정보 공유, 그리고 선제적 방어 전략 구축이 중요하다. 전문가들은 특히 이메일 서버 보안과 드라이버 무결성 검증 등 조직 내 보안 체계의 전반적인 강화를 권장했다.
