한 방산 기업의 보안 USB 제품만 노리는 멀웨어 발견돼
일본 게임 통해 비슷한 로더 퍼지고 있어...역시 한 USB만 노려
[보안뉴스 문가용 기자] 틱(Tick)이라고 알려진 사이버 해킹 그룹이 한국 방산 업체가 만든 보안 USB를 노리고 공격한다는 사실이 공개됐다. 이를 발표한 보안 업체 팔로알토 네트웍스(Palo Alto Networks)에 의하면 “망분리 시스템을 공격하기 위한 것”일 가능성이 높다.
[이미지 = iclickart]
틱의 또 다른 이름은 브론즈 버틀러(Bronze Butler)다. 중국에서 주로 활동하는 것으로 알려져 있으며 최소 10년 간 왕성하게 공격을 진행해 왔다. 그러나 처음 세상에 알려진 건 2016년 4월이다. 주로 일본과 대한민국을 노리는 것으로 알려져 있지만 러시아, 싱가포르, 중국의 조직들에도 다양한 멀웨어 공격을 한 전적이 있다.
현재까지 틱은 다양한 자체 제작 멀웨어를 사용해 왔는데, 민젠(Minzen), 댓퍼(Datper), 니우팔레(Nioupale) 혹은 다서프(Daserf), 호맘다운로더(HomamDownloader) 등이다. 하지만 이들이 보안 USB를 집중적으로 공격한 사례는 여태까지 없었다. 있더라도 발견된 바가 없다. 그래서 보안 전문가들은 “망분리 시스템을 노리기 위한 것”으로 추측하고 있다.
이번 공격에서 사용된 멀웨어는 윈도우 XP나 윈도우 서버 2003을 기반으로 한 시스템을 겨냥하고 있다. 즉 MS로부터 지원이 끝난, 오래된 제품들을 노리는 것이다. 팔로알토는 “망분리는 여러 나라에서 굉장히 중요한 시스템을 보호할 때 사용하는 기법”이라며, “주로 정부 기관과 군 관련 조직에서 활용하고 있다”고 설명한다.
또한 틱의 이러한 공격에 대해 여태까지 한 번도 보고된 바 없으나, “오래 전부터 이 멀웨어를 사용해온 것으로 보인다”고 팔로알토는 설명한다. “아마도 틱은 보안 USB 드라이브 모델을 침해하는 데 성공했고, 이를 바탕으로 악성 파일을 다른 장비들에도 퍼트릴 수 있었던 것으로 보입니다. 감염된 장비의 수는 정확히 알 수 없으나 한국의 보안인증(ITSCC)을 받은 제품들인 것으로 보입니다.”
또 다른 멀웨어
틱은 사이몬로더(SymonLoader)라는 멀웨어 패밀리를 만들기도 했다. 이 로더는 오래된 윈도우 시스템에 침투하여 특정 USB 드라이브들을 계속해서 찾는 작업을 진행한다. 그래서 목표물이 된 USB 드라이브가 시스템 내에 들어오는 순간 파일 시스템에 직접 접근하는 API를 사용하여 악성 파일을 로딩시킨다. “임시 폴더에 파일을 저장하고 실행시킵니다.”
팔로알토 측은 “아직 침해된 USB 드라이브 샘플을 구할 수가 없었다”며 “그래서 어떤 식으로 USB를 침해하는지 정확히 알 수가 없다”고 말한다. “어쩌면 USB 드라이브의 제작과 관련된 공급망에서부터 공격이 있었는지도 모르고, 아니면 생산이 완료된 후 누군가의 공격을 받았을지도 모릅니다. 시나리오는 많지만, 그 중 어떤 게 사실일지는 확신할 수 없습니다.”
하지만 멀웨어 로더는 정상적인 일본어 바둑 게임 프로그램을 통해 설치되는 것으로 밝혀졌다. “공격자들이 바둑 게임을 트로이목마로 변형시켜서 배포했습니다. 이러한 공격 방식은 2018년 1월 21일에 처음 목격되었습니다. 평범한 바둑 게임에서 호맘다운로더가 드롭되는 게 발견된 겁니다. 호맘다운로더는 원격 C&C 서버로부터 악성 파일을 전달 받는 멀웨어입니다.”
“저희가 최근 수집한 샘플이 틱 그룹의 것이라고 보는 데에는 몇 가지 이유가 있습니다. 바둑 게임에서 발견한 셸코드와, 이들이 이전에 감염시킨 한국어 프로그램들에서 발견된 셸코드가 정확하게 일치합니다. 호맘다운로더와 사이몬로더의 코드 일부도 똑같고요. 최근 샘플에서 틱의 흔적이 분명하게 느껴집니다.” 팔로알토의 설명이다.
팔로알토가 분석한 사이몬로더는 2012년 9월 26일에 제작된 것으로 보인다. 윈도우 7과 윈도우 서버 2008이 모두 출시되고도 한참 지난 시점이다. 그런데도 사이몬로더는 윈도우 XP와 윈도우 서버 2003만 노리는 것으로 나타났다. 그것도 특정 대한민국 방산 기업이 만든 보안 USB만 찾도록 설계되어 있었다. 팔로알토는 이 기업의 이름을 밝히지는 않았지만 군과 경찰, 정부 기관과 공공 기관의 정보 통신 보안 장비를 개발하는 업체라고 덧붙였다.
“공격자들은 알려지지 않은 실행파일을 암호화 하고 보안 USB 스토리지의 끝 부분에 미리 숨겨두었습니다. 예를 들어 ReadFile()과 같은 기존의 로직 파일 운영 API들로는 이 숨겨진 데이터에 접근하는 게 불가능합니다. 대신 사이몬로더는 LBA(Logical Block Addressing)와 SCSI 명령을 통해 데이터를 특정 위치에서부터 읽어 들일 수 있게 됩니다.”
팔로알토는 한국의 보안 USB 드라이브에서 발견된 멀웨어와 사이몬로더가 현재도 진행되고 있는 공격에 사용되는 것인지, 예전 공격의 흔적을 발견한 것인지 확신할 수 없다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
일본 게임 통해 비슷한 로더 퍼지고 있어...역시 한 USB만 노려
[보안뉴스 문가용 기자] 틱(Tick)이라고 알려진 사이버 해킹 그룹이 한국 방산 업체가 만든 보안 USB를 노리고 공격한다는 사실이 공개됐다. 이를 발표한 보안 업체 팔로알토 네트웍스(Palo Alto Networks)에 의하면 “망분리 시스템을 공격하기 위한 것”일 가능성이 높다.
[이미지 = iclickart]
틱의 또 다른 이름은 브론즈 버틀러(Bronze Butler)다. 중국에서 주로 활동하는 것으로 알려져 있으며 최소 10년 간 왕성하게 공격을 진행해 왔다. 그러나 처음 세상에 알려진 건 2016년 4월이다. 주로 일본과 대한민국을 노리는 것으로 알려져 있지만 러시아, 싱가포르, 중국의 조직들에도 다양한 멀웨어 공격을 한 전적이 있다.
현재까지 틱은 다양한 자체 제작 멀웨어를 사용해 왔는데, 민젠(Minzen), 댓퍼(Datper), 니우팔레(Nioupale) 혹은 다서프(Daserf), 호맘다운로더(HomamDownloader) 등이다. 하지만 이들이 보안 USB를 집중적으로 공격한 사례는 여태까지 없었다. 있더라도 발견된 바가 없다. 그래서 보안 전문가들은 “망분리 시스템을 노리기 위한 것”으로 추측하고 있다.
이번 공격에서 사용된 멀웨어는 윈도우 XP나 윈도우 서버 2003을 기반으로 한 시스템을 겨냥하고 있다. 즉 MS로부터 지원이 끝난, 오래된 제품들을 노리는 것이다. 팔로알토는 “망분리는 여러 나라에서 굉장히 중요한 시스템을 보호할 때 사용하는 기법”이라며, “주로 정부 기관과 군 관련 조직에서 활용하고 있다”고 설명한다.
또한 틱의 이러한 공격에 대해 여태까지 한 번도 보고된 바 없으나, “오래 전부터 이 멀웨어를 사용해온 것으로 보인다”고 팔로알토는 설명한다. “아마도 틱은 보안 USB 드라이브 모델을 침해하는 데 성공했고, 이를 바탕으로 악성 파일을 다른 장비들에도 퍼트릴 수 있었던 것으로 보입니다. 감염된 장비의 수는 정확히 알 수 없으나 한국의 보안인증(ITSCC)을 받은 제품들인 것으로 보입니다.”
또 다른 멀웨어
틱은 사이몬로더(SymonLoader)라는 멀웨어 패밀리를 만들기도 했다. 이 로더는 오래된 윈도우 시스템에 침투하여 특정 USB 드라이브들을 계속해서 찾는 작업을 진행한다. 그래서 목표물이 된 USB 드라이브가 시스템 내에 들어오는 순간 파일 시스템에 직접 접근하는 API를 사용하여 악성 파일을 로딩시킨다. “임시 폴더에 파일을 저장하고 실행시킵니다.”
팔로알토 측은 “아직 침해된 USB 드라이브 샘플을 구할 수가 없었다”며 “그래서 어떤 식으로 USB를 침해하는지 정확히 알 수가 없다”고 말한다. “어쩌면 USB 드라이브의 제작과 관련된 공급망에서부터 공격이 있었는지도 모르고, 아니면 생산이 완료된 후 누군가의 공격을 받았을지도 모릅니다. 시나리오는 많지만, 그 중 어떤 게 사실일지는 확신할 수 없습니다.”
하지만 멀웨어 로더는 정상적인 일본어 바둑 게임 프로그램을 통해 설치되는 것으로 밝혀졌다. “공격자들이 바둑 게임을 트로이목마로 변형시켜서 배포했습니다. 이러한 공격 방식은 2018년 1월 21일에 처음 목격되었습니다. 평범한 바둑 게임에서 호맘다운로더가 드롭되는 게 발견된 겁니다. 호맘다운로더는 원격 C&C 서버로부터 악성 파일을 전달 받는 멀웨어입니다.”
“저희가 최근 수집한 샘플이 틱 그룹의 것이라고 보는 데에는 몇 가지 이유가 있습니다. 바둑 게임에서 발견한 셸코드와, 이들이 이전에 감염시킨 한국어 프로그램들에서 발견된 셸코드가 정확하게 일치합니다. 호맘다운로더와 사이몬로더의 코드 일부도 똑같고요. 최근 샘플에서 틱의 흔적이 분명하게 느껴집니다.” 팔로알토의 설명이다.
팔로알토가 분석한 사이몬로더는 2012년 9월 26일에 제작된 것으로 보인다. 윈도우 7과 윈도우 서버 2008이 모두 출시되고도 한참 지난 시점이다. 그런데도 사이몬로더는 윈도우 XP와 윈도우 서버 2003만 노리는 것으로 나타났다. 그것도 특정 대한민국 방산 기업이 만든 보안 USB만 찾도록 설계되어 있었다. 팔로알토는 이 기업의 이름을 밝히지는 않았지만 군과 경찰, 정부 기관과 공공 기관의 정보 통신 보안 장비를 개발하는 업체라고 덧붙였다.
“공격자들은 알려지지 않은 실행파일을 암호화 하고 보안 USB 스토리지의 끝 부분에 미리 숨겨두었습니다. 예를 들어 ReadFile()과 같은 기존의 로직 파일 운영 API들로는 이 숨겨진 데이터에 접근하는 게 불가능합니다. 대신 사이몬로더는 LBA(Logical Block Addressing)와 SCSI 명령을 통해 데이터를 특정 위치에서부터 읽어 들일 수 있게 됩니다.”
팔로알토는 한국의 보안 USB 드라이브에서 발견된 멀웨어와 사이몬로더가 현재도 진행되고 있는 공격에 사용되는 것인지, 예전 공격의 흔적을 발견한 것인지 확신할 수 없다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
