검은 광산 작전명으로 국내 에너지, 교통, 통신, 방송, IT 기업, 금융 분야 등 노려
업무관련 파일 위장 등 2014년 5월부터 지난 7월까지 Bmdoor 악성코드로 공격
3.20, 6.25 사이버 공격에 이용된 악성코드 배포 도메인과 접속 주소 등 일부 동일
[보안뉴스 김경애] 지난 2014년 5월부터 2015년 7월까지 특정 그룹에서 동일한 유형의 악성코드를 이용해 국내 여러 기관과 기업을 공격한 정황이 포착됐다.
▲검은 광산 작전 공격 개요도
검은 광산 작전명으로 국내 주요 기관 등 타깃 공격
해당 공격조직은 ‘검은 광산 작전(Black Mine Operation)’명으로 공격 임무를 수행한 것으로 알려졌으며, 공격 대상은 국내의 에너지, 교통, 통신, 방송, IT 기업, 금융, 정치 분야 등 다양하다.
검은 광산 작전에는 다양한 악성코드를 이용했는데, 공격에 이용된 Bmdoor는 정상 실행 파일처럼 보이지만 공격에 이용된 Bmdoor 파일 끝부분에 암호화된 악성코드가 숨겨져 있는 것으로 드러났다. 파일이 실행되면 해당 악성코드가 메모리에서 작동하는데, 암호화된 영역은 특징적으로 ‘BM’ 문자로 시작하며 분석가와 자동분석 시스템을 우회하기 위한 기능이 포함된 경우도 있는 것으로 분석됐다.
안랩 시큐리티대응센터(ASEC) 분석팀에 따르면 공격자는 파워포인트 자료를 보여주는 실행 파일로 가장한 악성코드를 이용해 특정 대상을 공격했으며, 공격자는 공격대상이 명확한 표적 공격 외에도 2014년 7월 7일과 2015년 3월 20일에 국내 웹사이트 해킹을 통해 국내에서 많이 사용 중인 프로그램과 어도비 플래시(AdobeFlash) 취약점을 이용해 일반인에게도 악성코드를 유포한 것으로 알려졌다.
▲표적 공격에 사용된 악성코드 실행 화면
먼저 기업과 기관을 대상으로 삼은 경우에는 Bmdoor 악성코드를 업무 관련 파일이나 공격 대상이 흥미롭게 생각하는 졸업 앨범, 동문회 초청장 등으로 위장했다. Bmdoor 악성코드가 실행되면 나타나는 파워포인트 실행 화면은 공격자가 미리 공격 대상이 열어볼 만한 주제의 파워포인트 자료를 준비한 후, 파워포인트 프로그램이 설치되지 않은 PC에서도 자료를 볼 수 있게 만들어주는 프로그램으로 만든 정상 실행 파일이다.
하지만 파워포인트 화면이 열림과 동시에 실제 악성행위를 하는 악성코드(Bmdown, Bmbot 유형의 악성코드)도 내부에서 실행된다. 그러나 사용자는 아무 의심 없이 정상적으로 파워포인트 자료를 보게 되지만, 동시에 악성코드가 실행되고 있는 것은 인지하지 못한다.
반면, 국내 일반 사용자를 대상으로 한 공격에서는 주로 유명 프로그램의 취약점을 통해 Bmdoor 악성코드를 유포한 것으로 조사됐다. 대표적인 예로는 2014년 7월 7일 취약점을 이용한 감염 사례가 있다. 사용자가 해킹된 웹사이트에 접속했을 때 국내에서 많이 사용되는 소프트웨어와 어도비 플래시 취약점(CVE-2014-0515)을 이용해 PC를 감염시켰다.
2014년 5월부터 지난 7월까지 1년 2개월간 공격
검은 광산 작전은 2014년 5월부터 시작됐으며, BM 시그니처로 시작하는 메모리 영역 내에 토르(TOR) 네트워크로 통신하는 Bmbot A형 악성코드가 포함되어 있는 것으로 분석됐다.
▲Bmdoor접수 현황(2014년 5월~2015년 7월)
이후 2014년 7월에는 국내 주요 프로그램 및 어도비 플래시 취약점을 이용한 Bmdoor 변형이 유포됐다. 이 기간 공격에 사용된 악성코드는 2013년 3.20 전산망 장애 공격에 사용된 악성코드와 유사성이 있는 것으로 조사됐으며, 6.25 사이버공격 때 접속됐던 일부 IP와 동일한 점도 확인된 것으로 드러났다.
2014년 11월에는 주요 문자열이 암호화된 새로운 Bmbot B형이 발견됐고, 이 변형은 2015년 3월까지 공격에 이용됐다.
이어 2015년 5월부터는 새로운 Bmbot 변형이 발견됐고, 2015년 6월 말 발견된 Bmdoor 변형에서는 BM 시그니처를 포함하지 않는 샘플이 확인된 것으로 알려졌다. 이렇게 지난 7월까지 검은 광산 작전에서 기본이 되는 악성코드 Bmdoor는 240 개 이상이 발견됐다. 특히, 3월과 5월에 가장 많이 발견됐는데, 이 기간에 해커 조직이 가장 왕성한 활동을 한 것으로 추정된다.
3.20사이버테러 해킹조직과 연관 가능성
무엇보다 이번 해커조직은 3.20사이버터러 해커조직과 연관성이 높다는 의견이 제기돼 관심이 집중되고 있다.
▲3.20 전산망 장애 발생 그룹과 관련 정황
안랩 ASEC 분석팀 조사결과에 따르면 △BM 문자열을 포함한 여러 종의 3.20 전산망 장애와 관련된 악성코드가 발견됐으며, △2013년 3월 20일 발생한 3.20 전산망 장애 때 공격대상 업체에서 발견된 악성코드와 4바이트만 다른 변형이 2014년 7월 발견된 Bmdoor 내에 포함되어 있었다. 이어 △2014년 7월 7일 Bmdoor 변형을 배포할 때 이용한 취약점은 주로 국내 프로그램의 취약점으로 3.20 전산망 장애 때 이용된 취약점과 유사하다. 이 외에도 △2014년 7월 7일 배포된 Bmdoor 변형의 배포 주소와 통신 주소가 2013년 6월 25일 발생한 6.25 사이버공격에 이용된 악성코드의 배포 도메인과 접속 주소와 일부 동일한 것으로 드러났다.
악성코드 Bmdoor 유형 3가지
그동안 국내를 타깃으로 공격했던 악성코드 Bmdoor 유형은 크게 3가지로, 첫 번째 유형은 Bmdown이다. Bmdown에는 시스템 정보를 수집해 공격자 C&C 서버에 접속을 시도하고 수신된 명령에 따라 파일을 다운로드하는 기능이 있다. 세부적으로 패킷의 문자열을 비교하는 Bmdown A형과 다운로드한 파일의 문자열을 비교하는 Bmdown B형 등으로 구분할 수 있다.
▲Bmdoor악성코드 유형
두 번째 유형은 Bmbot으로 C&C 서버와 통신을 하고 사용자 정보를 빼내는 기능이 있으며, Bmdoor 내부에 가장 많이 포함되어 있는 악성코드다. Bmbot은 공격자와 실시간으로 통신하면서 실행/비실행 파일을 추가로 다운로드하고, 내부 파일 및 PC 정보를 유출하는 핵심적인 악성 행위를 담당한다. Bmbot은 토르 네트워크를 사용하여 암호화된 내용을 전송하는 Bmbot A형과 내부 문자열이 최초 암호화되어 있고, 함수가 실행될 때마다 문자열을 복구해 파일을 실행하는 Bmbot B형이 있다.
세 번째 유형은 RAT(Remote Administration Tool)이다. △외국에서 제작된 PC 정보 수집과 파일관리, 시스템 관리, 데이터 유출 등의 기능이 있는 아리안(Aryan) △데이터 유출, 네트워크 제어, 시스템 제어, 디도스 공격 등의 명령을 할 수 있는 다크코멧(Darkcomet) △파일관리, 네트워크 제어, 시스템 관리, 데이터 유출을 할 수 있는 제나(Xena) △파일관리, 네트워크 제어, 시스템 관리, 데이터 유출을 할 수 있는 익스트림(Xtreme) 등의 원격제어 도구를 이용하는 유형이 있다.
원격 제어 및 화면 캡처 기능이 있는 아리안은 지난 7월 Bmdoor 파일 내부에서 발견됐고, 다크코멧과 제나, 익스트림은 지난 4월에 발견됐다. 해당 악성코드들은 원격제어 프로그램 (Remote Administrative Tool, RAT)으로 공격자가 감염 시스템을 원격 접속할 수 있다.
따라서 이용자는 Windows, 백신 프로그램, Adobe Flash 프로그램을 항상 최신 버전으로 업데이트하고, 웹 브라우저의 플러그인을 최소화하거나 최신 버전으로 업데이트해야 한다. 또한, 다운로드한 파일의 확장자가 EXE인 실행 파일은 가급적 실행하지 않는 것이 바람직하다.
이와 관련 안랩 측은 “검은 광산 작전(Black Mine Operation)을 진행하고 있는 이들은 다양한 Bmdoor를 제작해 국내 여러 기관과 기업에 대한 공격을 1년여 이상 수행하고 있다”며 “분석가와 분석 시스템을 회피하려는 시도를 하는 것을 보면 앞으로 더 은밀하게 작전을 수행할 것으로 예상된다”고 분석했다.
이어 “지난 10년 동안 국내 주요 기관과 기업을 타깃으로 지속적으로 공격하는 세력은 분명히 존재한다”며 “이러한 공격에 대비하기 위해서 주요 기관과 기업은 내부로 유입되는 파일에 대한 분석 역량을 강화하고 보안업체 및 유관기관과의 협력을 강화해야 할 것으로 보인다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
업무관련 파일 위장 등 2014년 5월부터 지난 7월까지 Bmdoor 악성코드로 공격
3.20, 6.25 사이버 공격에 이용된 악성코드 배포 도메인과 접속 주소 등 일부 동일
[보안뉴스 김경애] 지난 2014년 5월부터 2015년 7월까지 특정 그룹에서 동일한 유형의 악성코드를 이용해 국내 여러 기관과 기업을 공격한 정황이 포착됐다.
▲검은 광산 작전 공격 개요도
검은 광산 작전명으로 국내 주요 기관 등 타깃 공격
해당 공격조직은 ‘검은 광산 작전(Black Mine Operation)’명으로 공격 임무를 수행한 것으로 알려졌으며, 공격 대상은 국내의 에너지, 교통, 통신, 방송, IT 기업, 금융, 정치 분야 등 다양하다.
검은 광산 작전에는 다양한 악성코드를 이용했는데, 공격에 이용된 Bmdoor는 정상 실행 파일처럼 보이지만 공격에 이용된 Bmdoor 파일 끝부분에 암호화된 악성코드가 숨겨져 있는 것으로 드러났다. 파일이 실행되면 해당 악성코드가 메모리에서 작동하는데, 암호화된 영역은 특징적으로 ‘BM’ 문자로 시작하며 분석가와 자동분석 시스템을 우회하기 위한 기능이 포함된 경우도 있는 것으로 분석됐다.
안랩 시큐리티대응센터(ASEC) 분석팀에 따르면 공격자는 파워포인트 자료를 보여주는 실행 파일로 가장한 악성코드를 이용해 특정 대상을 공격했으며, 공격자는 공격대상이 명확한 표적 공격 외에도 2014년 7월 7일과 2015년 3월 20일에 국내 웹사이트 해킹을 통해 국내에서 많이 사용 중인 프로그램과 어도비 플래시(AdobeFlash) 취약점을 이용해 일반인에게도 악성코드를 유포한 것으로 알려졌다.
▲표적 공격에 사용된 악성코드 실행 화면
먼저 기업과 기관을 대상으로 삼은 경우에는 Bmdoor 악성코드를 업무 관련 파일이나 공격 대상이 흥미롭게 생각하는 졸업 앨범, 동문회 초청장 등으로 위장했다. Bmdoor 악성코드가 실행되면 나타나는 파워포인트 실행 화면은 공격자가 미리 공격 대상이 열어볼 만한 주제의 파워포인트 자료를 준비한 후, 파워포인트 프로그램이 설치되지 않은 PC에서도 자료를 볼 수 있게 만들어주는 프로그램으로 만든 정상 실행 파일이다.
하지만 파워포인트 화면이 열림과 동시에 실제 악성행위를 하는 악성코드(Bmdown, Bmbot 유형의 악성코드)도 내부에서 실행된다. 그러나 사용자는 아무 의심 없이 정상적으로 파워포인트 자료를 보게 되지만, 동시에 악성코드가 실행되고 있는 것은 인지하지 못한다.
반면, 국내 일반 사용자를 대상으로 한 공격에서는 주로 유명 프로그램의 취약점을 통해 Bmdoor 악성코드를 유포한 것으로 조사됐다. 대표적인 예로는 2014년 7월 7일 취약점을 이용한 감염 사례가 있다. 사용자가 해킹된 웹사이트에 접속했을 때 국내에서 많이 사용되는 소프트웨어와 어도비 플래시 취약점(CVE-2014-0515)을 이용해 PC를 감염시켰다.
2014년 5월부터 지난 7월까지 1년 2개월간 공격
검은 광산 작전은 2014년 5월부터 시작됐으며, BM 시그니처로 시작하는 메모리 영역 내에 토르(TOR) 네트워크로 통신하는 Bmbot A형 악성코드가 포함되어 있는 것으로 분석됐다.
▲Bmdoor접수 현황(2014년 5월~2015년 7월)
이후 2014년 7월에는 국내 주요 프로그램 및 어도비 플래시 취약점을 이용한 Bmdoor 변형이 유포됐다. 이 기간 공격에 사용된 악성코드는 2013년 3.20 전산망 장애 공격에 사용된 악성코드와 유사성이 있는 것으로 조사됐으며, 6.25 사이버공격 때 접속됐던 일부 IP와 동일한 점도 확인된 것으로 드러났다.
2014년 11월에는 주요 문자열이 암호화된 새로운 Bmbot B형이 발견됐고, 이 변형은 2015년 3월까지 공격에 이용됐다.
이어 2015년 5월부터는 새로운 Bmbot 변형이 발견됐고, 2015년 6월 말 발견된 Bmdoor 변형에서는 BM 시그니처를 포함하지 않는 샘플이 확인된 것으로 알려졌다. 이렇게 지난 7월까지 검은 광산 작전에서 기본이 되는 악성코드 Bmdoor는 240 개 이상이 발견됐다. 특히, 3월과 5월에 가장 많이 발견됐는데, 이 기간에 해커 조직이 가장 왕성한 활동을 한 것으로 추정된다.
3.20사이버테러 해킹조직과 연관 가능성
무엇보다 이번 해커조직은 3.20사이버터러 해커조직과 연관성이 높다는 의견이 제기돼 관심이 집중되고 있다.
▲3.20 전산망 장애 발생 그룹과 관련 정황
안랩 ASEC 분석팀 조사결과에 따르면 △BM 문자열을 포함한 여러 종의 3.20 전산망 장애와 관련된 악성코드가 발견됐으며, △2013년 3월 20일 발생한 3.20 전산망 장애 때 공격대상 업체에서 발견된 악성코드와 4바이트만 다른 변형이 2014년 7월 발견된 Bmdoor 내에 포함되어 있었다. 이어 △2014년 7월 7일 Bmdoor 변형을 배포할 때 이용한 취약점은 주로 국내 프로그램의 취약점으로 3.20 전산망 장애 때 이용된 취약점과 유사하다. 이 외에도 △2014년 7월 7일 배포된 Bmdoor 변형의 배포 주소와 통신 주소가 2013년 6월 25일 발생한 6.25 사이버공격에 이용된 악성코드의 배포 도메인과 접속 주소와 일부 동일한 것으로 드러났다.
악성코드 Bmdoor 유형 3가지
그동안 국내를 타깃으로 공격했던 악성코드 Bmdoor 유형은 크게 3가지로, 첫 번째 유형은 Bmdown이다. Bmdown에는 시스템 정보를 수집해 공격자 C&C 서버에 접속을 시도하고 수신된 명령에 따라 파일을 다운로드하는 기능이 있다. 세부적으로 패킷의 문자열을 비교하는 Bmdown A형과 다운로드한 파일의 문자열을 비교하는 Bmdown B형 등으로 구분할 수 있다.
▲Bmdoor악성코드 유형
두 번째 유형은 Bmbot으로 C&C 서버와 통신을 하고 사용자 정보를 빼내는 기능이 있으며, Bmdoor 내부에 가장 많이 포함되어 있는 악성코드다. Bmbot은 공격자와 실시간으로 통신하면서 실행/비실행 파일을 추가로 다운로드하고, 내부 파일 및 PC 정보를 유출하는 핵심적인 악성 행위를 담당한다. Bmbot은 토르 네트워크를 사용하여 암호화된 내용을 전송하는 Bmbot A형과 내부 문자열이 최초 암호화되어 있고, 함수가 실행될 때마다 문자열을 복구해 파일을 실행하는 Bmbot B형이 있다.
세 번째 유형은 RAT(Remote Administration Tool)이다. △외국에서 제작된 PC 정보 수집과 파일관리, 시스템 관리, 데이터 유출 등의 기능이 있는 아리안(Aryan) △데이터 유출, 네트워크 제어, 시스템 제어, 디도스 공격 등의 명령을 할 수 있는 다크코멧(Darkcomet) △파일관리, 네트워크 제어, 시스템 관리, 데이터 유출을 할 수 있는 제나(Xena) △파일관리, 네트워크 제어, 시스템 관리, 데이터 유출을 할 수 있는 익스트림(Xtreme) 등의 원격제어 도구를 이용하는 유형이 있다.
원격 제어 및 화면 캡처 기능이 있는 아리안은 지난 7월 Bmdoor 파일 내부에서 발견됐고, 다크코멧과 제나, 익스트림은 지난 4월에 발견됐다. 해당 악성코드들은 원격제어 프로그램 (Remote Administrative Tool, RAT)으로 공격자가 감염 시스템을 원격 접속할 수 있다.
따라서 이용자는 Windows, 백신 프로그램, Adobe Flash 프로그램을 항상 최신 버전으로 업데이트하고, 웹 브라우저의 플러그인을 최소화하거나 최신 버전으로 업데이트해야 한다. 또한, 다운로드한 파일의 확장자가 EXE인 실행 파일은 가급적 실행하지 않는 것이 바람직하다.
이와 관련 안랩 측은 “검은 광산 작전(Black Mine Operation)을 진행하고 있는 이들은 다양한 Bmdoor를 제작해 국내 여러 기관과 기업에 대한 공격을 1년여 이상 수행하고 있다”며 “분석가와 분석 시스템을 회피하려는 시도를 하는 것을 보면 앞으로 더 은밀하게 작전을 수행할 것으로 예상된다”고 분석했다.
이어 “지난 10년 동안 국내 주요 기관과 기업을 타깃으로 지속적으로 공격하는 세력은 분명히 존재한다”며 “이러한 공격에 대비하기 위해서 주요 기관과 기업은 내부로 유입되는 파일에 대한 분석 역량을 강화하고 보안업체 및 유관기관과의 협력을 강화해야 할 것으로 보인다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
