핵, 금융, 국방, 에너지 분야 주로 공격...악성 워드 문서 통해 감염시켜
라자루스의 소니 해킹 사건과 닮아도 너무 닮아 ‘모방범’ 가능성 높아
[보안뉴스 문가용 기자] 2014년의 소니 픽처스(Sony Pictures) 해킹 사건 당시 발견된 멀웨어와 유사한 공격 도구를 사용하는 공격 단체가 나타났다. 이들은 핵, 국방, 에너지, 금융 관련 조직들을 공격하고 있으며, 그 목적은 정보 수집인 것으로 보인다. 공격자들은 10월과 11월에만 87개 조직을 공격하는 데 성공했는데 대부분 미국에 있는 곳들이라고 보안 업체 맥아피(McAfee)는 밝혔다.
[이미지 = iclickart]
이 공격 캠페인의 이름은 샤프슈터 작전(Operation Sharpshooter)으로, 악성 워드 문서들을 통해 멀웨어를 퍼트리는 방식으로 진행되고 있다. 악성 워드 문서들은 구인 및 구직과 관련된 내용을 담고 있는 것처럼 위장되어 있으며, 전부 영어로 작성되어 있었다. 발송지의 IP 주소는 미국이며, 드롭박스를 통해 배포되고 있다고 맥아피는 설명했다.
“저희가 모은 정보를 종합하면, 악성 문서들은 특정 프로그램에 참여하고 있는 기업들 내 구성원들을 겨냥해서 전송된 것으로 보입니다. 당연히 공격자들은 이 특정 프로그램들에 관심이 있는 것이고요. 참여자들을 통해 프로그램에 대한 정보를 수집하려는 것이 공격자의 목표일 가능성이 높습니다.” 맥아피의 수석 분석가인 라이언 셔스토비토프(Ryan Sherstobitoff)의 설명이다.
하지만 이 ‘공격자’의 악성 문서 배포 방식에 대해서는 확실히 알 수 없다. 셔스토비토프는 “스피어피싱 공격이 의심된다”고만 덧붙였다. “악성 문서에는 악성 매크로가 포함되어 있습니다. 엠베드 된 셸코드를 사용해 샤프슈터라는 다운로더를 워드의 메모리 영역에 주입하는 기능을 가진 매크로입니다.”
샤프슈터 다운로더는 실행 시 라이징 선(Rising Sun)이라는 멀웨어를 다운로드 받는다. 라이징 선은 2단계 임플란트로, 메모리에서 실행되며 침해 시스템에 대한 정보를 수집하는 기능을 가지고 있다. 라이징 선 바이너리는 기계 내 ‘시작 프로그램’ 폴더에 다운로드 되기 때문에 공격에 지속성이 더해지기도 한다. 그 외에 샤프슈터는 두 번째 워드 문서를 다운로드 하기도 하는데, 아무런 악성 요소가 없는 문서다. 멀웨어를 숨기기 위한 미끼 역할로 보인다.
라이징 선은 네트워크 어댑터 정보, 컴퓨터 이름, 사용자 이름, IP 주소, OS 정보, 드라이브 및 프로세스 정보 등을 수집하는 기능을 가지고 있다. 그리고 수집된 정보를 RC4 알고리즘을 통해 암호화하고, 암호화된 데이터를 베이스64(Base64)로 다시 엔코딩 해서 공격자들의 서버로 전송한다. 이 서버는 미국, 싱가포르, 프랑스에 위치한 것으로 나타났다. 라이징 선 임플란트는 14개의 백도어 기능을 지원하는데, 1) 프로세스 중단, 2) 프로세스 메모리 청소, 3) 디스크에 파일 작성 등을 포함하고 있다.
이 라이징 선이라는 멀웨어가 맥아피의 조사를 헷갈리게 만드는 요소다. “라이징 선은 트로얀 두저(Trojan Duuzer)라는 멀웨어의 소스코드를 사용하고 있습니다. 트로얀 두저는 북한의 해킹 그룹인 라자루스 그룹이 2014년 소니를 해킹할 때 사용했던 백도어입니다. 따라서 이번 공격자가 라자루스라고 볼 수도 있습니다.”
라자루스를 가리키는 다른 힌트들도 존재한다. “라이징 선을 배포하는 데 사용된 문서는 한국어 버전의 워드를 통해 만들어졌습니다. 또한 라이브러리 이름과 API 이름을 구축하고 디코드 하는 기술도 같습니다. 두 멀웨어의 기능들도 복사한 것처럼 똑같고요. 공격의 전략과 과정도 라자루스의 그것과 동일합니다. 소니 공격 상황이 여러 모로 겹쳐 보이는 게 사실입니다.” 맥아피 측의 설명이다.
그러나 맥아피는 “둘이 지나치게 유사해 보여서 라자루스가 했다고 결론을 내리기가 어렵다”고 말한다. “둘의 유사성이 너무 노골적이어서, 다른 누군가가 라자루스처럼 보이기 위해 노력했다고 봐도 이상하지 않을 정도입니다. 라자루스로 시선을 돌리려는, 전혀 엉뚱한 다른 공격자일 가능성도 낮지 않습니다.”
한편 라이징 선과 트로얀 두저 사이에 차이점도 존재한다. “통신 원리와 엔코딩 기법은 서로 차이를 보입니다. 명령 코드 구조와 디코딩을 구현하는 측면에 있어서는 라이징 선이 훨씬 향상된 모습을 보입니다. 또한 암호화 알고리즘도 라이징 선이 더 좋은 걸 쓰고 있고요. 그 외에도 라이징 선이 단순히 두저의 업그레이드 버전이라고만은 보기 힘들게 하는 지점들이 있습니다.”
방어하는 조직의 입장에서 이 사건은 “조직 내 누군가가 메일 첨부파일을 조심성 없이 열어 본다”는 걸 상기시킨다. 보안 업체 포지티브 테크놀로지스(Positive Technologies)의 사이버 보안 전문가인 레이앤 갤로웨이(Leigh-Anne Galloway)는 “피싱 캠페인은 고전적인 수법이지만 아직도 잘 통하는 전략이며, 잘 가다듬을 경우 보안이 단단한 거대 조직들도 공략할 수 있는 효과적인 기술”이라고 설명한다.
“피싱 공격은 사람의 심리와 감정을 건드리는 공격입니다. 꼭 열어보고 싶게 만드는 트릭을 사용하기 때문에 잘 통하는 것이죠. 피싱에 대한 방어법은 사용자 교육과 피싱 최신 동향에 대한 정보 공유뿐입니다.” 갤로웨이의 설명이다.
3줄 요약
1. 전 세계(지만 주로 미국)의 핵, 금융, 국방 관련 시설 87개 해킹 공격 당함.
2. 공격을 들여다보면 여러 가지 측면에서 2014 소니 해킹 사건이 떠오름.
3. 그렇다면 북한의 라자루스? 결론 내리기에는 너무 뻔한 감이 있어 오히려 헷갈림.
[국제부 문가용 기자(globoan@boannews.com)]
라자루스의 소니 해킹 사건과 닮아도 너무 닮아 ‘모방범’ 가능성 높아
[보안뉴스 문가용 기자] 2014년의 소니 픽처스(Sony Pictures) 해킹 사건 당시 발견된 멀웨어와 유사한 공격 도구를 사용하는 공격 단체가 나타났다. 이들은 핵, 국방, 에너지, 금융 관련 조직들을 공격하고 있으며, 그 목적은 정보 수집인 것으로 보인다. 공격자들은 10월과 11월에만 87개 조직을 공격하는 데 성공했는데 대부분 미국에 있는 곳들이라고 보안 업체 맥아피(McAfee)는 밝혔다.
[이미지 = iclickart]
이 공격 캠페인의 이름은 샤프슈터 작전(Operation Sharpshooter)으로, 악성 워드 문서들을 통해 멀웨어를 퍼트리는 방식으로 진행되고 있다. 악성 워드 문서들은 구인 및 구직과 관련된 내용을 담고 있는 것처럼 위장되어 있으며, 전부 영어로 작성되어 있었다. 발송지의 IP 주소는 미국이며, 드롭박스를 통해 배포되고 있다고 맥아피는 설명했다.
“저희가 모은 정보를 종합하면, 악성 문서들은 특정 프로그램에 참여하고 있는 기업들 내 구성원들을 겨냥해서 전송된 것으로 보입니다. 당연히 공격자들은 이 특정 프로그램들에 관심이 있는 것이고요. 참여자들을 통해 프로그램에 대한 정보를 수집하려는 것이 공격자의 목표일 가능성이 높습니다.” 맥아피의 수석 분석가인 라이언 셔스토비토프(Ryan Sherstobitoff)의 설명이다.
하지만 이 ‘공격자’의 악성 문서 배포 방식에 대해서는 확실히 알 수 없다. 셔스토비토프는 “스피어피싱 공격이 의심된다”고만 덧붙였다. “악성 문서에는 악성 매크로가 포함되어 있습니다. 엠베드 된 셸코드를 사용해 샤프슈터라는 다운로더를 워드의 메모리 영역에 주입하는 기능을 가진 매크로입니다.”
샤프슈터 다운로더는 실행 시 라이징 선(Rising Sun)이라는 멀웨어를 다운로드 받는다. 라이징 선은 2단계 임플란트로, 메모리에서 실행되며 침해 시스템에 대한 정보를 수집하는 기능을 가지고 있다. 라이징 선 바이너리는 기계 내 ‘시작 프로그램’ 폴더에 다운로드 되기 때문에 공격에 지속성이 더해지기도 한다. 그 외에 샤프슈터는 두 번째 워드 문서를 다운로드 하기도 하는데, 아무런 악성 요소가 없는 문서다. 멀웨어를 숨기기 위한 미끼 역할로 보인다.
라이징 선은 네트워크 어댑터 정보, 컴퓨터 이름, 사용자 이름, IP 주소, OS 정보, 드라이브 및 프로세스 정보 등을 수집하는 기능을 가지고 있다. 그리고 수집된 정보를 RC4 알고리즘을 통해 암호화하고, 암호화된 데이터를 베이스64(Base64)로 다시 엔코딩 해서 공격자들의 서버로 전송한다. 이 서버는 미국, 싱가포르, 프랑스에 위치한 것으로 나타났다. 라이징 선 임플란트는 14개의 백도어 기능을 지원하는데, 1) 프로세스 중단, 2) 프로세스 메모리 청소, 3) 디스크에 파일 작성 등을 포함하고 있다.
이 라이징 선이라는 멀웨어가 맥아피의 조사를 헷갈리게 만드는 요소다. “라이징 선은 트로얀 두저(Trojan Duuzer)라는 멀웨어의 소스코드를 사용하고 있습니다. 트로얀 두저는 북한의 해킹 그룹인 라자루스 그룹이 2014년 소니를 해킹할 때 사용했던 백도어입니다. 따라서 이번 공격자가 라자루스라고 볼 수도 있습니다.”
라자루스를 가리키는 다른 힌트들도 존재한다. “라이징 선을 배포하는 데 사용된 문서는 한국어 버전의 워드를 통해 만들어졌습니다. 또한 라이브러리 이름과 API 이름을 구축하고 디코드 하는 기술도 같습니다. 두 멀웨어의 기능들도 복사한 것처럼 똑같고요. 공격의 전략과 과정도 라자루스의 그것과 동일합니다. 소니 공격 상황이 여러 모로 겹쳐 보이는 게 사실입니다.” 맥아피 측의 설명이다.
그러나 맥아피는 “둘이 지나치게 유사해 보여서 라자루스가 했다고 결론을 내리기가 어렵다”고 말한다. “둘의 유사성이 너무 노골적이어서, 다른 누군가가 라자루스처럼 보이기 위해 노력했다고 봐도 이상하지 않을 정도입니다. 라자루스로 시선을 돌리려는, 전혀 엉뚱한 다른 공격자일 가능성도 낮지 않습니다.”
한편 라이징 선과 트로얀 두저 사이에 차이점도 존재한다. “통신 원리와 엔코딩 기법은 서로 차이를 보입니다. 명령 코드 구조와 디코딩을 구현하는 측면에 있어서는 라이징 선이 훨씬 향상된 모습을 보입니다. 또한 암호화 알고리즘도 라이징 선이 더 좋은 걸 쓰고 있고요. 그 외에도 라이징 선이 단순히 두저의 업그레이드 버전이라고만은 보기 힘들게 하는 지점들이 있습니다.”
방어하는 조직의 입장에서 이 사건은 “조직 내 누군가가 메일 첨부파일을 조심성 없이 열어 본다”는 걸 상기시킨다. 보안 업체 포지티브 테크놀로지스(Positive Technologies)의 사이버 보안 전문가인 레이앤 갤로웨이(Leigh-Anne Galloway)는 “피싱 캠페인은 고전적인 수법이지만 아직도 잘 통하는 전략이며, 잘 가다듬을 경우 보안이 단단한 거대 조직들도 공략할 수 있는 효과적인 기술”이라고 설명한다.
“피싱 공격은 사람의 심리와 감정을 건드리는 공격입니다. 꼭 열어보고 싶게 만드는 트릭을 사용하기 때문에 잘 통하는 것이죠. 피싱에 대한 방어법은 사용자 교육과 피싱 최신 동향에 대한 정보 공유뿐입니다.” 갤로웨이의 설명이다.
3줄 요약
1. 전 세계(지만 주로 미국)의 핵, 금융, 국방 관련 시설 87개 해킹 공격 당함.
2. 공격을 들여다보면 여러 가지 측면에서 2014 소니 해킹 사건이 떠오름.
3. 그렇다면 북한의 라자루스? 결론 내리기에는 너무 뻔한 감이 있어 오히려 헷갈림.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
