이번 주말 파키스탄에서 열리는 군 관련 국제 행사를 한 새내기 해킹 그룹이 노리기 시작했다. 새내기라고 하지만 실력은 완숙 그 자체다. 보안 업체 블랙베리가 이 자들을 찾아내 추적했다.
[보안뉴스 문가용 기자] 보안 업체 블랙베리(Blackberry)가 새로운 위협 단체를 발견했다. 뉴스펭귄(NewsPenguin)이라는 이름이 붙었으며, 주로 파키스탄과 각종 산업 시설들을 겨냥하여 정보 탈취 및 스파이 공격을 수개월째 실시하고 있다고 한다. 현재 뉴스펭귄은 파키스탄에서 곧 열릴 예정인 엑스포 행사의 방문 예정자들을 특히 노리고 있다고 블랙베리는 경고했다.
[이미지 = utoimage]
블랙베리가 언급한 엑스포 행사의 정식 명칭은 파키스탄국제해양엑스포컨퍼런스(Pakistan International Maritime Expo & Conference)이며, PIMEC으로 줄여 쓴다. PIMEC은 이번 주말 동안 개최되며 해양 분야의 공공 기관과 민간 기업들이 세계의 다른 조직들과의 비즈니스 관계를 활성화시키는 것을 목적으로 하고 있다. 경제적 발전을 위한 행사라고 할 수 있고, 유수의 정부 기관들과 군사 조직, 그와 관련된 대형 업체들이 파키스탄을 방문할 것으로 예상된다.
뉴스펭귄은 자신들이 노리는 대상들에게 맞춤형 공격을 실시하는 것으로 분석됐다. 즉, 피해자에 따라 미끼도 맞춤형으로 만들고, 그 외 공격의 세부 사항들도 전부 맞춤형으로 마련한다는 것이다. 이 때문에 블랙베리 측은 “매우 능동적으로 공격 표적을 정하고, 정찰하고, 공격하는 데 능숙한 고차원적인 단체”라고 뉴스펭귄을 파악하고 있다.
뉴펭귄, 어떻게 피싱 공격을 실시하나
현재 뉴스펭귄은 주로 스피어피싱 이메일을 통해 공격을 실시하는데, 이 공격 이메일에는 악성 워드 문서가 첨부되어 있다고 한다. 첨부된 문서는 마치 PIMEC 컨퍼런스 참가자들을 매뉴얼인 것처럼 위장되어 있으며, 이름은 Important Document.doc이다. 이름에서 의외의 허술함이 드러나긴 하지만 속는 사람이 적지 않은 것으로 파악되고 있다. 문서 안에는 실제 PIMEC 행사의 공식 홍보 자료들이 여러 방식으로 짜깁기 되어 있다. 그래서 꽤나 진짜처럼 보인다.
피해자가 이 문서를 받아 열기를 시도할 경우 처음에는 안전한 미리보기 방식으로 열린다. 이 때문에 문서의 내용을 미리 볼 수가 없다. 동시에 팝업이 뜨면서 “실제 문서 내용을 보려면 ‘콘텐츠 활성화(enable content)’라는 버튼을 클릭하시오”라는 안내가 나온다. 클릭할 경우 피해자의 시스템에 원격 템플릿 주입 공격이 시작된다.
원격 템플릿 주입 공격은, 말 그대로 원격에 저장되어 있는 템플릿이 피해자의 시스템에 다운로드 되는 공격 기법이다. 이는 탐지 기술을 피해갈 수 있는 간편한 전략 중 하나다. 악성 문서에 멀웨어가 직접 삽입되어 있지 않기 때문에 간단한 멀웨어 탐지 기술로는 잡아낼 수가 없다. 문서가 열리면서 피해자가 버튼을 누르게 되고, 그럼으로써 다운로드 되는 템플릿에 멀웨어가 있다. 블랙베리의 위협 연구자인 드미트리 베스투제프(Dmitry Bestuzhev)는 “이 방법을 통해 공격자들이 탐지를 꽤나 간단하게 회피할 수 있다”고 설명한다.
“특히 이메일 게이트웨이나 엔드포인트 탐지 및 대응 솔루션들은 이런 공격 기법에 취약합니다. 그럴 수밖에 없는 게 악성 요소들은 최초 첨부파일에 하나도 없거든요. 직접적인 악행을 실시하는 것들은 전부 원격 서버에 있지요. 이메일 게이트웨이나 엔드포인트 솔루션이 멀리에 있는 엉뚱한 서버들까지 다 검사할 수는 없습니다. 내부의 시스템과 네트워크에 한정된 보안 솔루션들을 뚫어내는 데에 있어 원격 템플릿 공격은 강력한 효과를 보여줍니다.”
뉴스펭귄의 우회 기법
이런 전략을 통해 최종적으로 피해자의 시스템에 심겨지는 페이로드는 일종의 실행파일로, updates.exe라는 이름을 가지고 있다고 한다. 아직까지 한 번도 공개되거나 분석된 적이 없는 스파이 도구며, 탐지와 분석을 피하기 위한 여러 가지 기술들을 탑재하고 있다고 한다.
예를 들어 피해자 네트워크 내에서 노이즈를 최소화 하기 위해 택한 전략 중 하나는 매우 느리게 작동하는 것이다. 명령을 연쇄적으로 실행하지 않고 한 명령이 끝나면 5분 있다가 다음 명령을 실행한다. “이렇게 시간을 끌기 때문에 네트워크 트래픽이 거의 발생하지 않습니다. 한 마디로 조용한 것이죠. 자신들의 흔적을 최소한으로 남기기 위해 적용된 방법이라고 봅니다.” 베스투제프의 설명이다.
또한 이 페이로드에는 가상기계나 샌드박스 환경을 미리 탐지하는 기능도 존재한다. 그런 환경들에서 실행되고 있음이 탐지되면 작동을 멈춘다. 사이버 보안 전문가들은 멀웨어가 어떤 식으로 작동하는지 안전하게 살피기 위해 이런 가상의 환경에 멀웨어를 가둬두고 관찰을 하고, 여기서 얻어진 지식으로 추후 공격에 대한 방어 대책을 마련한다. 그러므로 이런 환경에서 실행이 된다는 건 미래에 이어질 공격까지 근절된다는 뜻이 된다.
뉴스펭귄, 뭘 원하나?
아직까지 뉴스펭귄을 이전에 알려진 공격 단체들과 관련을 짓기에는 힘든 상황이다. 어쩌면 기존 단체가 자신들의 기법이나 특징을 제거하고 새롭게 위장한 것일 수도 있고, 완전히 새롭게 태어난 그룹일 수도 있다. 하지만 이들의 활동이 최근부터 시작된 건 아니다. 왜냐하면 공격에 활용되는 도메인이 이미 작년 6월부터 등록되어 있었기 때문이다. 뉴스펭귄의 탐지 회피 기술이 그만큼 뛰어나다는 것을 시사한다.
“급전을 노리거나 소기의 목적만을 위해서 활동하는 공격자들은 장기적인 계획을 가지고 공격을 준비하지 않습니다. 최근에 실시할 공격을 위해 6월부터 도메인을 등록해 두었다는 건 뉴스펭귄이 큰 그림을 가지고 있는 공격 단체라는 뜻입니다. 그리고 그 동안 철저한 준비를 진행하면서 자신들의 모습을 숨겨왔다고 보입니다. 그러니 맞춤형 공격이 가능한 게 아닐까 합니다.”
이렇게까지 철저하게 공격을 준비하고 실시하는 뉴스펭귄은, 무엇을 가져가려고 하는 걸까? “보통 컨퍼런스나 엑스포에서 운영되는 부스들에서 무슨 일이 일어나나요? 기술을 판매하는 자와 구매하는 자가 만나서 정보를 나누죠. 그리고 그런 만남들을 부스 운영자들은 전부 엑셀 같은 곳에 기록을 해 둡니다. 잠재적 고객이 될 수 있는 사람들이니까요. 공격자들이 노리는 건 바로 이런 정보들이라고 봅니다. 게다가 PIMEC은 군과 관련이 깊은 행사라는 걸 알아두어야 합니다.”
3줄 요약
1. 새로운 공격 그룹, 뉴스펭귄 적발됨.
2. 파키스탄에서 곧 열리는 주요 군 관련 행사의 참가자들을 노리는 피싱 공격 실행하는 중.
3. 최소 지난 6월부터 준비해 온 흔적 나오는 것 보면, 수준 상당히 높은 공격자일 듯.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 보안 업체 블랙베리(Blackberry)가 새로운 위협 단체를 발견했다. 뉴스펭귄(NewsPenguin)이라는 이름이 붙었으며, 주로 파키스탄과 각종 산업 시설들을 겨냥하여 정보 탈취 및 스파이 공격을 수개월째 실시하고 있다고 한다. 현재 뉴스펭귄은 파키스탄에서 곧 열릴 예정인 엑스포 행사의 방문 예정자들을 특히 노리고 있다고 블랙베리는 경고했다.
[이미지 = utoimage]
블랙베리가 언급한 엑스포 행사의 정식 명칭은 파키스탄국제해양엑스포컨퍼런스(Pakistan International Maritime Expo & Conference)이며, PIMEC으로 줄여 쓴다. PIMEC은 이번 주말 동안 개최되며 해양 분야의 공공 기관과 민간 기업들이 세계의 다른 조직들과의 비즈니스 관계를 활성화시키는 것을 목적으로 하고 있다. 경제적 발전을 위한 행사라고 할 수 있고, 유수의 정부 기관들과 군사 조직, 그와 관련된 대형 업체들이 파키스탄을 방문할 것으로 예상된다.
뉴스펭귄은 자신들이 노리는 대상들에게 맞춤형 공격을 실시하는 것으로 분석됐다. 즉, 피해자에 따라 미끼도 맞춤형으로 만들고, 그 외 공격의 세부 사항들도 전부 맞춤형으로 마련한다는 것이다. 이 때문에 블랙베리 측은 “매우 능동적으로 공격 표적을 정하고, 정찰하고, 공격하는 데 능숙한 고차원적인 단체”라고 뉴스펭귄을 파악하고 있다.
뉴펭귄, 어떻게 피싱 공격을 실시하나
현재 뉴스펭귄은 주로 스피어피싱 이메일을 통해 공격을 실시하는데, 이 공격 이메일에는 악성 워드 문서가 첨부되어 있다고 한다. 첨부된 문서는 마치 PIMEC 컨퍼런스 참가자들을 매뉴얼인 것처럼 위장되어 있으며, 이름은 Important Document.doc이다. 이름에서 의외의 허술함이 드러나긴 하지만 속는 사람이 적지 않은 것으로 파악되고 있다. 문서 안에는 실제 PIMEC 행사의 공식 홍보 자료들이 여러 방식으로 짜깁기 되어 있다. 그래서 꽤나 진짜처럼 보인다.
피해자가 이 문서를 받아 열기를 시도할 경우 처음에는 안전한 미리보기 방식으로 열린다. 이 때문에 문서의 내용을 미리 볼 수가 없다. 동시에 팝업이 뜨면서 “실제 문서 내용을 보려면 ‘콘텐츠 활성화(enable content)’라는 버튼을 클릭하시오”라는 안내가 나온다. 클릭할 경우 피해자의 시스템에 원격 템플릿 주입 공격이 시작된다.
원격 템플릿 주입 공격은, 말 그대로 원격에 저장되어 있는 템플릿이 피해자의 시스템에 다운로드 되는 공격 기법이다. 이는 탐지 기술을 피해갈 수 있는 간편한 전략 중 하나다. 악성 문서에 멀웨어가 직접 삽입되어 있지 않기 때문에 간단한 멀웨어 탐지 기술로는 잡아낼 수가 없다. 문서가 열리면서 피해자가 버튼을 누르게 되고, 그럼으로써 다운로드 되는 템플릿에 멀웨어가 있다. 블랙베리의 위협 연구자인 드미트리 베스투제프(Dmitry Bestuzhev)는 “이 방법을 통해 공격자들이 탐지를 꽤나 간단하게 회피할 수 있다”고 설명한다.
“특히 이메일 게이트웨이나 엔드포인트 탐지 및 대응 솔루션들은 이런 공격 기법에 취약합니다. 그럴 수밖에 없는 게 악성 요소들은 최초 첨부파일에 하나도 없거든요. 직접적인 악행을 실시하는 것들은 전부 원격 서버에 있지요. 이메일 게이트웨이나 엔드포인트 솔루션이 멀리에 있는 엉뚱한 서버들까지 다 검사할 수는 없습니다. 내부의 시스템과 네트워크에 한정된 보안 솔루션들을 뚫어내는 데에 있어 원격 템플릿 공격은 강력한 효과를 보여줍니다.”
뉴스펭귄의 우회 기법
이런 전략을 통해 최종적으로 피해자의 시스템에 심겨지는 페이로드는 일종의 실행파일로, updates.exe라는 이름을 가지고 있다고 한다. 아직까지 한 번도 공개되거나 분석된 적이 없는 스파이 도구며, 탐지와 분석을 피하기 위한 여러 가지 기술들을 탑재하고 있다고 한다.
예를 들어 피해자 네트워크 내에서 노이즈를 최소화 하기 위해 택한 전략 중 하나는 매우 느리게 작동하는 것이다. 명령을 연쇄적으로 실행하지 않고 한 명령이 끝나면 5분 있다가 다음 명령을 실행한다. “이렇게 시간을 끌기 때문에 네트워크 트래픽이 거의 발생하지 않습니다. 한 마디로 조용한 것이죠. 자신들의 흔적을 최소한으로 남기기 위해 적용된 방법이라고 봅니다.” 베스투제프의 설명이다.
또한 이 페이로드에는 가상기계나 샌드박스 환경을 미리 탐지하는 기능도 존재한다. 그런 환경들에서 실행되고 있음이 탐지되면 작동을 멈춘다. 사이버 보안 전문가들은 멀웨어가 어떤 식으로 작동하는지 안전하게 살피기 위해 이런 가상의 환경에 멀웨어를 가둬두고 관찰을 하고, 여기서 얻어진 지식으로 추후 공격에 대한 방어 대책을 마련한다. 그러므로 이런 환경에서 실행이 된다는 건 미래에 이어질 공격까지 근절된다는 뜻이 된다.
뉴스펭귄, 뭘 원하나?
아직까지 뉴스펭귄을 이전에 알려진 공격 단체들과 관련을 짓기에는 힘든 상황이다. 어쩌면 기존 단체가 자신들의 기법이나 특징을 제거하고 새롭게 위장한 것일 수도 있고, 완전히 새롭게 태어난 그룹일 수도 있다. 하지만 이들의 활동이 최근부터 시작된 건 아니다. 왜냐하면 공격에 활용되는 도메인이 이미 작년 6월부터 등록되어 있었기 때문이다. 뉴스펭귄의 탐지 회피 기술이 그만큼 뛰어나다는 것을 시사한다.
“급전을 노리거나 소기의 목적만을 위해서 활동하는 공격자들은 장기적인 계획을 가지고 공격을 준비하지 않습니다. 최근에 실시할 공격을 위해 6월부터 도메인을 등록해 두었다는 건 뉴스펭귄이 큰 그림을 가지고 있는 공격 단체라는 뜻입니다. 그리고 그 동안 철저한 준비를 진행하면서 자신들의 모습을 숨겨왔다고 보입니다. 그러니 맞춤형 공격이 가능한 게 아닐까 합니다.”
이렇게까지 철저하게 공격을 준비하고 실시하는 뉴스펭귄은, 무엇을 가져가려고 하는 걸까? “보통 컨퍼런스나 엑스포에서 운영되는 부스들에서 무슨 일이 일어나나요? 기술을 판매하는 자와 구매하는 자가 만나서 정보를 나누죠. 그리고 그런 만남들을 부스 운영자들은 전부 엑셀 같은 곳에 기록을 해 둡니다. 잠재적 고객이 될 수 있는 사람들이니까요. 공격자들이 노리는 건 바로 이런 정보들이라고 봅니다. 게다가 PIMEC은 군과 관련이 깊은 행사라는 걸 알아두어야 합니다.”
3줄 요약
1. 새로운 공격 그룹, 뉴스펭귄 적발됨.
2. 파키스탄에서 곧 열리는 주요 군 관련 행사의 참가자들을 노리는 피싱 공격 실행하는 중.
3. 최소 지난 6월부터 준비해 온 흔적 나오는 것 보면, 수준 상당히 높은 공격자일 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
