[보안뉴스 조재호 기자] 아시아태평양(APAC) 지역 산업에 집중된 새로운 공격(campaign)이 발견됐다. 이번 공격은 정식 클라우드와 소프트웨어를 활용해 기존 탐지 방법을 우회한 ‘다단계 악성코드 배포 방식’을 활용했다.
▲살몬슬라럼의 감염경로. [자료: 카스퍼스키]
27일 카스퍼스키(지사장 이효은)의 산업제어시스템(ICS) 침해사고대응팀은(CERT)은 이 같은 내용을 골자로 한 신규 공격인 ‘살몬슬라럼’(SalmonSlalom)을 발견했다고 발표했다.
이번 공격은 정식 클라우드 서비스를 악용해 악성코드를 관리하고, 탐지를 피하기 위해 합법적인 소프트웨어를 활용한 ‘다단계 악성코드 배포 방식’(multi-stage malware delivery scheme)을 활용했다. 우리나라와 일본, 중국, 싱가포르 등 APAC 지역의 정부 기관과 산업계를 대상으로 세금 관련 문서로 위장한 ZIP 압축 파일을 이메일이나 메신저를 주로 이용해 시스템에 백도어로 원격 액세스 트로이목마(RAT)를 설치하는 방식이다.
이러한 공격은 Gh0st RAT, SimayRAT, Zegost 같은 오픈소스 원격 액세스 트로이목마를 활용한 방식과 유사했다. 다만, 이번엔 중국어 사용자를 대상으로 한 새로운 기술과 절차의 변화가 두드러졌다. 공격자들은 중국 클라우드 콘텐츠 전송 네트워크인 myqcloud와 Youdao Cloud Notes 서비스를 악용했다.
탐지와 차단을 피하려고 △동적 제어 서버와 악성 페이로드 변경 △웹 리소스에 악성 파일 배치 △애플리케이션 취약점 악용 △악성코드 실행을 위한 소프트웨어 기능 활용 △ 파일 및 네트워크 트래픽의 패키징·암호화 등 다양한 방법 활용했다.
이에 카스퍼스키는 이번 공격을 살몬슬라럼이라 불렀다. 연어가 급류를 거슬러 올라가면서 바위 틈을 헤치고 지나가듯, 공격자들이 방어 체계를 회피하기 위해 끊임없이 전략을 변경하는 모습에서 착안한 것이다. 이번 공격이 특정 그룹에 의해 진행되었다는 증거는 없지만, 중국어 기반 서비스와 인터페이스의 지속적인 사용과 기타 기술적 증거를 감안하면 중국어를 사용하는 공격자가 관련됐을 가능성이 높다고 카스퍼스키는 예상했다.
회사는 공격 예방을 위한 조치로 △보안 솔루션 로그인의 이중 인증 활성화 △중앙 집중형 보안 솔루션 △정기적인 업데이트 △보안 솔루션 구성요소 확인 및 제거 금지 △운영 체제 및 애플리케이션 최신화 △카스퍼스키 통합 모니터링 및 분석 플랫폼 등의 시스템 정보 및 이벤트 관리(SIEM)도입 △최신 위협 정보 확인 등을 권장했다.
에브게니 곤차포르 카스퍼스키 ICS CERT 책임자는 “이번 공격은 단순한 공격기법을 조합해 APAC 지역 산업체를 대상으로 운영기술(OT) 시스템에 원격 접근 권한을 훔칠 수 있다는 것을 경고하는 사례”라며 “이러한 위협에 대응하기 위해 보안 인식을 강화하고 위협 탐지 역량을 강화하고 지역 및 업종 간 위협정보 공유를 확대해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
▲살몬슬라럼의 감염경로. [자료: 카스퍼스키]
27일 카스퍼스키(지사장 이효은)의 산업제어시스템(ICS) 침해사고대응팀은(CERT)은 이 같은 내용을 골자로 한 신규 공격인 ‘살몬슬라럼’(SalmonSlalom)을 발견했다고 발표했다.
이번 공격은 정식 클라우드 서비스를 악용해 악성코드를 관리하고, 탐지를 피하기 위해 합법적인 소프트웨어를 활용한 ‘다단계 악성코드 배포 방식’(multi-stage malware delivery scheme)을 활용했다. 우리나라와 일본, 중국, 싱가포르 등 APAC 지역의 정부 기관과 산업계를 대상으로 세금 관련 문서로 위장한 ZIP 압축 파일을 이메일이나 메신저를 주로 이용해 시스템에 백도어로 원격 액세스 트로이목마(RAT)를 설치하는 방식이다.
이러한 공격은 Gh0st RAT, SimayRAT, Zegost 같은 오픈소스 원격 액세스 트로이목마를 활용한 방식과 유사했다. 다만, 이번엔 중국어 사용자를 대상으로 한 새로운 기술과 절차의 변화가 두드러졌다. 공격자들은 중국 클라우드 콘텐츠 전송 네트워크인 myqcloud와 Youdao Cloud Notes 서비스를 악용했다.
탐지와 차단을 피하려고 △동적 제어 서버와 악성 페이로드 변경 △웹 리소스에 악성 파일 배치 △애플리케이션 취약점 악용 △악성코드 실행을 위한 소프트웨어 기능 활용 △ 파일 및 네트워크 트래픽의 패키징·암호화 등 다양한 방법 활용했다.
이에 카스퍼스키는 이번 공격을 살몬슬라럼이라 불렀다. 연어가 급류를 거슬러 올라가면서 바위 틈을 헤치고 지나가듯, 공격자들이 방어 체계를 회피하기 위해 끊임없이 전략을 변경하는 모습에서 착안한 것이다. 이번 공격이 특정 그룹에 의해 진행되었다는 증거는 없지만, 중국어 기반 서비스와 인터페이스의 지속적인 사용과 기타 기술적 증거를 감안하면 중국어를 사용하는 공격자가 관련됐을 가능성이 높다고 카스퍼스키는 예상했다.
회사는 공격 예방을 위한 조치로 △보안 솔루션 로그인의 이중 인증 활성화 △중앙 집중형 보안 솔루션 △정기적인 업데이트 △보안 솔루션 구성요소 확인 및 제거 금지 △운영 체제 및 애플리케이션 최신화 △카스퍼스키 통합 모니터링 및 분석 플랫폼 등의 시스템 정보 및 이벤트 관리(SIEM)도입 △최신 위협 정보 확인 등을 권장했다.
에브게니 곤차포르 카스퍼스키 ICS CERT 책임자는 “이번 공격은 단순한 공격기법을 조합해 APAC 지역 산업체를 대상으로 운영기술(OT) 시스템에 원격 접근 권한을 훔칠 수 있다는 것을 경고하는 사례”라며 “이러한 위협에 대응하기 위해 보안 인식을 강화하고 위협 탐지 역량을 강화하고 지역 및 업종 간 위협정보 공유를 확대해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
