아시아와 동남아시아 지역 정부, 통신 조직 공격하는 단체
적어도 2009년부터 활동 시작... 악성 피싱 딱 한 번만 발송
[보안뉴스 문가용] MS 윈도우의 기능 중 핫 패칭(hot patching)을 악용하여 공격을 숨기는 사이버 스파이 단체가 등장했다. MS는 이 단체를 플래티넘(Platinum)이라고 부르고 있으며 주로 아시아와 동남아시아의 정부 기관과 통신 기업들을 노리고 있다고 밝혔다. 플래티넘은 표적이 된 기관 및 단체의 네트워크에 장기간 머무르는 APT 공격을 하고 있으며, 주로 스피어피싱 기법을 통해 최초 침투하는 것으로 알려졌다.
.jpg)
스피어피싱과 핫 패칭 악용의 조합은 상당히 성공적인 듯 보인다. MS에 의하면 적어도 2009년부터 활동한 것으로 나타났기 때문이다. 10년이 채 안 되는 기간 동안 들키지 않고 네트워크에 숨어들어 스파이행위를 한 것.
핫 패칭은 윈도우 서버 2003버전부터 지원된 기능으로, 컴퓨터를 껐다 켤 필요 없이 패치를 진행시켜준다. 이 기능을 활성화하려면 관리자급의 권한이 필요하다. “플래티넘은 이 점을 악용해 백도어를 숨겼습니다. 첫 샘플이 발견된 곳은 말레이시아에 있는 시스템이었습니다. 숨겨놓은 백도어를 통해 플래티넘은 굉장히 긴 시간 동안 피해자들을 지켜볼 수 있었습니다.”
다행히 이 핫 패칭 기능은 윈도우 8부터 사라졌다. 그럼에도 플래티넘이 핫 패칭 악용 기법을 사용해온 건 “많은 공격대상이 상당 기간 오래된 윈도우를 사용할 것이라는 확신이 있기 때문”이라고 MS의 연구원들은 설명하고 있다.
플래티넘은 여러 소프트웨어의 취약점을 악용하는 악성 문서 혹은 악성 링크, 이미지, 스크립트, 템플릿 등을 표적에게 보낸다. 특이한 건 여러 번 ‘걸릴 때까지’ 반복해서 보내는 게 아니라 딱 한 번만 보낸다고.
“2016년 2월, 플래티넘은 인도 정부와 관련된 뉴스 매체 사이트를 통해 많은 시스템을 감염시킨 적이 있습니다. 인도 정부가 운영하는 사이트가 아니라, 내용상 인도 정부와 관련이 있는 매체였습니다. 사용자들에게 무료로 이메일 계정을 지급하기도 하는 곳이었죠. 플래티넘은 이 무료 메일 사용자들을 노리고 스피어피싱 캠페인을 진행했습니다.”
당연히 인도 정부에 대한 이야기가 많이 나온 곳에서 주는 메일 계정이니, 플래티넘으로서는 정부 기관에서 온 이메일인 것처럼 가장하면 되었다. 실제로 많은 사람들이 이에 속았다고 한다. 그런 식으로 한 사람이 감염되면 시스템 전체의 통제권이 플래티넘에게 넘어가게 되고, 그 후 플레티넘은 이 시스템 하나를 발판으로 조직 전체의 네트워크로 영역을 넓혀갔다.
플래티넘은 매우 든든한 후원자를 등에 업은 것으로 보이며, 주로 민감한 지적재산, 특히 정부의 이해와 관련된 것들을 노린다고 한다. 특정 정부 조직, 국방 관련 기관, 첩보 에이전시, 외교부, 통신 사업자들의 네트워크에서 주로 활동하는 것으로 나타났고, 지역은 아시아 및 동남아시아였다. “또한 여태까지 알려지지 않은 제로데이 취약점을 주로 익스플로잇 합니다. 그래서 굉장히 위협적입니다.”
MS는 공격자의 특정 행위, 시그니처, 지역, 주요 표적들로 구성쇵 프로파일을 제작했다. 플래티넘의 추가 피해를 막기 위해 MS가 조직들에게 권장하는 행위는 다음과 같다.
- 윈도우 10의 보안 기능을 최대한 활용한다.
- 가능한 보안 업데이트를 모두, 빠른 시일 내에 한다.
- 보안 훈련 및 교육을 실시해 플래티넘과 같은 해킹 그룹에 대한 경각심을 심는다.
- 네트워크 방화벽 및 프록시 정책을 강화한다.
- 인터넷과 연결된 모든 시스템의 모든 애플리케이션을 최신 버전으로 맞춘다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
적어도 2009년부터 활동 시작... 악성 피싱 딱 한 번만 발송
[보안뉴스 문가용] MS 윈도우의 기능 중 핫 패칭(hot patching)을 악용하여 공격을 숨기는 사이버 스파이 단체가 등장했다. MS는 이 단체를 플래티넘(Platinum)이라고 부르고 있으며 주로 아시아와 동남아시아의 정부 기관과 통신 기업들을 노리고 있다고 밝혔다. 플래티넘은 표적이 된 기관 및 단체의 네트워크에 장기간 머무르는 APT 공격을 하고 있으며, 주로 스피어피싱 기법을 통해 최초 침투하는 것으로 알려졌다.
스피어피싱과 핫 패칭 악용의 조합은 상당히 성공적인 듯 보인다. MS에 의하면 적어도 2009년부터 활동한 것으로 나타났기 때문이다. 10년이 채 안 되는 기간 동안 들키지 않고 네트워크에 숨어들어 스파이행위를 한 것.
핫 패칭은 윈도우 서버 2003버전부터 지원된 기능으로, 컴퓨터를 껐다 켤 필요 없이 패치를 진행시켜준다. 이 기능을 활성화하려면 관리자급의 권한이 필요하다. “플래티넘은 이 점을 악용해 백도어를 숨겼습니다. 첫 샘플이 발견된 곳은 말레이시아에 있는 시스템이었습니다. 숨겨놓은 백도어를 통해 플래티넘은 굉장히 긴 시간 동안 피해자들을 지켜볼 수 있었습니다.”
다행히 이 핫 패칭 기능은 윈도우 8부터 사라졌다. 그럼에도 플래티넘이 핫 패칭 악용 기법을 사용해온 건 “많은 공격대상이 상당 기간 오래된 윈도우를 사용할 것이라는 확신이 있기 때문”이라고 MS의 연구원들은 설명하고 있다.
플래티넘은 여러 소프트웨어의 취약점을 악용하는 악성 문서 혹은 악성 링크, 이미지, 스크립트, 템플릿 등을 표적에게 보낸다. 특이한 건 여러 번 ‘걸릴 때까지’ 반복해서 보내는 게 아니라 딱 한 번만 보낸다고.
“2016년 2월, 플래티넘은 인도 정부와 관련된 뉴스 매체 사이트를 통해 많은 시스템을 감염시킨 적이 있습니다. 인도 정부가 운영하는 사이트가 아니라, 내용상 인도 정부와 관련이 있는 매체였습니다. 사용자들에게 무료로 이메일 계정을 지급하기도 하는 곳이었죠. 플래티넘은 이 무료 메일 사용자들을 노리고 스피어피싱 캠페인을 진행했습니다.”
당연히 인도 정부에 대한 이야기가 많이 나온 곳에서 주는 메일 계정이니, 플래티넘으로서는 정부 기관에서 온 이메일인 것처럼 가장하면 되었다. 실제로 많은 사람들이 이에 속았다고 한다. 그런 식으로 한 사람이 감염되면 시스템 전체의 통제권이 플래티넘에게 넘어가게 되고, 그 후 플레티넘은 이 시스템 하나를 발판으로 조직 전체의 네트워크로 영역을 넓혀갔다.
플래티넘은 매우 든든한 후원자를 등에 업은 것으로 보이며, 주로 민감한 지적재산, 특히 정부의 이해와 관련된 것들을 노린다고 한다. 특정 정부 조직, 국방 관련 기관, 첩보 에이전시, 외교부, 통신 사업자들의 네트워크에서 주로 활동하는 것으로 나타났고, 지역은 아시아 및 동남아시아였다. “또한 여태까지 알려지지 않은 제로데이 취약점을 주로 익스플로잇 합니다. 그래서 굉장히 위협적입니다.”
MS는 공격자의 특정 행위, 시그니처, 지역, 주요 표적들로 구성쇵 프로파일을 제작했다. 플래티넘의 추가 피해를 막기 위해 MS가 조직들에게 권장하는 행위는 다음과 같다.
- 윈도우 10의 보안 기능을 최대한 활용한다.
- 가능한 보안 업데이트를 모두, 빠른 시일 내에 한다.
- 보안 훈련 및 교육을 실시해 플래티넘과 같은 해킹 그룹에 대한 경각심을 심는다.
- 네트워크 방화벽 및 프록시 정책을 강화한다.
- 인터넷과 연결된 모든 시스템의 모든 애플리케이션을 최신 버전으로 맞춘다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.png){kind=spacer}
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)