우주항공 산업 노린 가짜 PDF 파일로 악성 페이로드 다운로드 유발
대부분 윈도우 시스템 노리는 단체... 리눅스와 OS X는 예외적
[보안뉴스 문가용] 미국 민주당원들을 공격한 혐의를 받고 있는 러시아의 사이버 스파이 단체가 애플의 OS X 기기들을 겨냥해 새로운 트로이목마를 사용하고 있는 것이 발견됐다. 팔로알토 네트웍스(Palo Alto Networks)의 유닛 42(Unit 42) 리서치 팀은 최근 팬시 베어(Fancy Bear), APT28, 폰스톰(Pawn Storm), 소파시(Sofacy), 세드닛(Sednit)이라는 이름으로 불리는 해킹 단체의 행적을 추적하다 발견한 내용이다.
팔로알토에 따르면 최근 팬시 베어가 항공우주 산업의 기업들 중 OS X를 사용하는 자들을 노리는 트로이목마를 배포하고 있다고 한다. 이 트로이목마의 이름은 콤플렉스(Komplex)로, 맥용 소프트웨어의 취약점을 노리는 대신, 사용자의 클릭을 유도해 시스템으로 다운로드 된 후 악성 코드를 실행한다. 콤플렉스는 외관상 PDF 파일과 같은 모양을 취하고 있다.
유닛 42의 첩보 책임자인 라이언 올슨(Ryan Olson)은 “일단 샘플 확보에까지는 성공했으나 페이로드가 어떤 식으로 피해자에게 도달되는지는 정확히 알 수가 없다”고 설명한다. “피싱 공격이 가장 유력해 보이나, 이는 추측일뿐 정확한 감염 경로는 아직 확인된 바가 없습니다.”
이 가짜 PDF 파일은 디스플레이 애플리케이션을 사용해 러시아의 우주 프로그램의 미래와 관련된 슬라이드들을 노출시킨다고 올슨은 설명한다. 슬라이드는 전부 러시아어로 작성되어 있다. “이런 류의 파일을 반드시 열어볼 만한 사람들을 노린 공격이라고 볼 수 있습니다.” 즉 항공우주산업의 종사자들이 관심 가질만한 내용이었다는 것.
팬시 베어는 보통 정부 기관이나 비영리 단체, 비정부 조직에서 사용되는 윈도우 시스템을 공격하는 것으로 알려져 있다. “윈도우 툴을 사용해왔고, 단 한 번 리눅스를 공격한 사례가 있습니다. OS X와 연관되어 있기는 이번이 처음입니다.”
하지만 또 다른 보안업체인 크라우드스트라이크(CrowdStrike)는 “팬시 베어가 이전에도 OS X를 공격한 적이 있다”고 반박했다. “팬시 베어는 2000년대 중반부터 활동을 시작한 해킹 그룹으로 늘 항공우주 산업, 국방 산업, 에너지 산업, 정부기관, 미디어를 노려왔습니다. 특히 미국, 서유럽, 캐나다, 중국, 그루지야, 이란, 일본, 대한민국을 주로 공격했고요.”
팬시 베어는 그 동안 많은 멀웨어 및 해킹 툴들을 개발해오기도 했다. “수년 동안 활동해오면서 축적해온 공격 툴들도 상당히 많습니다. 소파시, X-Agent, X-Tunnel, WinIDS, 푸저(Foozer), 다운레인지(DownRange) 등이 그 예죠. 게다가 리눅스, OS X, iOS, 안드로이드, 윈도우 폰 등 공격하는 기기도 다양합니다.” 크라우드스트라이크의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)의 설명이다.
이에 팔로알토의 유닛 42 역시 맥키퍼(MacKeeper)라는 백신 프로그램의 악명 높은 오류를 익스플로잇해서 OS X 기기를 공격하는 데에 콤플렉스가 사용되었던 적이 있다는 사실을 발견했다고 발표했다. “당시의 콤플렉스는 카버프(Carberp)라는 트로이목마의 변종처럼 보였습니다. 코드도 일정 부분 비슷했고 기능도 그랬습니다. 또한 C&C 도메인 역시 겹치는 부분이 있었고요.”
한편 팔로알토는 콤플렉스에 대한 기술적인 세부 내용들을 블로그에 공개했다. 그 내용은 여기에서 열람이 가능하다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
대부분 윈도우 시스템 노리는 단체... 리눅스와 OS X는 예외적
[보안뉴스 문가용] 미국 민주당원들을 공격한 혐의를 받고 있는 러시아의 사이버 스파이 단체가 애플의 OS X 기기들을 겨냥해 새로운 트로이목마를 사용하고 있는 것이 발견됐다. 팔로알토 네트웍스(Palo Alto Networks)의 유닛 42(Unit 42) 리서치 팀은 최근 팬시 베어(Fancy Bear), APT28, 폰스톰(Pawn Storm), 소파시(Sofacy), 세드닛(Sednit)이라는 이름으로 불리는 해킹 단체의 행적을 추적하다 발견한 내용이다.
팔로알토에 따르면 최근 팬시 베어가 항공우주 산업의 기업들 중 OS X를 사용하는 자들을 노리는 트로이목마를 배포하고 있다고 한다. 이 트로이목마의 이름은 콤플렉스(Komplex)로, 맥용 소프트웨어의 취약점을 노리는 대신, 사용자의 클릭을 유도해 시스템으로 다운로드 된 후 악성 코드를 실행한다. 콤플렉스는 외관상 PDF 파일과 같은 모양을 취하고 있다.
유닛 42의 첩보 책임자인 라이언 올슨(Ryan Olson)은 “일단 샘플 확보에까지는 성공했으나 페이로드가 어떤 식으로 피해자에게 도달되는지는 정확히 알 수가 없다”고 설명한다. “피싱 공격이 가장 유력해 보이나, 이는 추측일뿐 정확한 감염 경로는 아직 확인된 바가 없습니다.”
이 가짜 PDF 파일은 디스플레이 애플리케이션을 사용해 러시아의 우주 프로그램의 미래와 관련된 슬라이드들을 노출시킨다고 올슨은 설명한다. 슬라이드는 전부 러시아어로 작성되어 있다. “이런 류의 파일을 반드시 열어볼 만한 사람들을 노린 공격이라고 볼 수 있습니다.” 즉 항공우주산업의 종사자들이 관심 가질만한 내용이었다는 것.
팬시 베어는 보통 정부 기관이나 비영리 단체, 비정부 조직에서 사용되는 윈도우 시스템을 공격하는 것으로 알려져 있다. “윈도우 툴을 사용해왔고, 단 한 번 리눅스를 공격한 사례가 있습니다. OS X와 연관되어 있기는 이번이 처음입니다.”
하지만 또 다른 보안업체인 크라우드스트라이크(CrowdStrike)는 “팬시 베어가 이전에도 OS X를 공격한 적이 있다”고 반박했다. “팬시 베어는 2000년대 중반부터 활동을 시작한 해킹 그룹으로 늘 항공우주 산업, 국방 산업, 에너지 산업, 정부기관, 미디어를 노려왔습니다. 특히 미국, 서유럽, 캐나다, 중국, 그루지야, 이란, 일본, 대한민국을 주로 공격했고요.”
팬시 베어는 그 동안 많은 멀웨어 및 해킹 툴들을 개발해오기도 했다. “수년 동안 활동해오면서 축적해온 공격 툴들도 상당히 많습니다. 소파시, X-Agent, X-Tunnel, WinIDS, 푸저(Foozer), 다운레인지(DownRange) 등이 그 예죠. 게다가 리눅스, OS X, iOS, 안드로이드, 윈도우 폰 등 공격하는 기기도 다양합니다.” 크라우드스트라이크의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)의 설명이다.
이에 팔로알토의 유닛 42 역시 맥키퍼(MacKeeper)라는 백신 프로그램의 악명 높은 오류를 익스플로잇해서 OS X 기기를 공격하는 데에 콤플렉스가 사용되었던 적이 있다는 사실을 발견했다고 발표했다. “당시의 콤플렉스는 카버프(Carberp)라는 트로이목마의 변종처럼 보였습니다. 코드도 일정 부분 비슷했고 기능도 그랬습니다. 또한 C&C 도메인 역시 겹치는 부분이 있었고요.”
한편 팔로알토는 콤플렉스에 대한 기술적인 세부 내용들을 블로그에 공개했다. 그 내용은 여기에서 열람이 가능하다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
