현재 진행되는 국가 최대 프로젝트에 관한 내용으로 스피어 피싱
내부 인프라 업그레이드시켜 드롭박스와 여행사인 것처럼 가장하기도
[보안뉴스 문가용 기자] 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 최근 스피어피싱과 다운로더를 이용한 추가 페이로드를 실행하는 원격 접근 툴(RAT)이 활발히 활용되고 있는 것을 발견했다. 이 RAT의 이름은 KHRAT으로, 중국의 사이버 스파이 그룹 드래곤오케이(DragonOK)와 관련이 있는 것으로 나타났다.
[이미지 = iclickart]
드래곤오케이는 과거에 다양한 멀웨어를 사용해온 단체로, 넷트래블러(NetTraveler) 혹은 트래브넷(TravNet), 플러그엑스(PlugX), 세이커(Saker), 넷봇(Netbot), 다크스트랫(DarkStRat), 제로티(ZeroT) 등이 대표적인 무기로 알려졌다. 특히 중국 근처 국가와 러시아를 겨냥해온 단체들이다. 최근에는 캄보디아의 조직들을 공격하는 데에 주력해왔다.
KHRAT은 기기의 사용자 이름, 시스템 언어, 로컬 IP 주소 등을 사용해 피해자들을 등록시키는 기능을 가지고 있다. 동시에 원격 시스템 제어, 키로깅, 스크린샷 캡처, 원격 쉘 접근 등 기본적인 RAT의 기능들을 제공하는 건 물론이다.
이 멀웨어의 샘플을 확보하고 분석한 팔로알토는 1) 드래곤오케이의 스피어피싱 기술이 크게 발전했다, 2) 다양한 방법을 사용해 추가 페이로드를 다운로드받고 실행하는데 3) 이때 기본적으로 윈도우에 탑재된 애플리케이션들을 사용한다, 는 사실을 발견했다. 또한 인프라도 확장해 유명 클라우드 서비스인 드롭박스(Dropbox)를 매우 그럴듯하게 흉내 내고 있다는 것도 알아냈다.
캄보디아를 겨냥한 이번 공격은 이미 7월부터 발견되어 왔다. 이 때 MS 워드 문서가 사용되고 있는 것이 발견되었는데, 문서의 제목에는 MIWRMP라는 글자가 들어가 있었다. 이는 Mekong Integrated Water Resources Management Project(메콩 강 통합 수자원 관리 프루젝트)의 약자로, 실제로 동북부 캄보디아에서 진행되고 있는 수천만 달러 규모의 프로젝트다. 그러니 깜빡 속을 확률이 높다.
이 문서를 다운로드받고 실행시키면 특정 매크로를 활성화시키라는 안내창이 뜨고, 이에 응하면 VBA 코드가 실행돼 악성 행위가 시작된다. 악성 행위라고 하면 시스템 태스크 스케줄을 바꾸거나 특정 자바스크립트 코드를 호출하고 실행시키는 것을 말한다. 해당 문서는 update.upload-dropbox.com이라는 도메인과 연결되어 있기도 했는데, 침해된 캄보디아 정부 기관 웹사이트에 호스팅되어 있었다. 분석해 보니 regsvr32.exe라는 정상적인 프로그램을 실행시켜 윈도우의 방어 기제들을 회피하는 기능을 가지고 있었다.
한편 VBA 코드가 실행시키는 자바스크립트는 사이트 방문자를 파악, 추적하는 기능을 가지고 있는 것으로 나타났다. 사용자-에이전트, 도메인, 쿠키, 리퍼러, 플래시 버전 등의 데이터를 수집하기도 하며, 중국 소프트웨어 개발자 네트워크(CSDN) 웹사이트에 호스팅된 한 블로그에서 발견된 자바스크립트와 매우 유사했다. 하지만 팔로알토는 해당 블로그에 대해서는 아직 이렇다 할 정보를 밝히지 않고 있지만 깃허브나 페이스트빈 등 큰 규모의 개발자 네트워크에서 악성 코드가 공유되는 건 흔한 일이기도 하다.
팔로알토 측은 “국가적 관심사를 활용한 소셜 엔지니어링 공격이 얼마나 효과적일 수 있는지가 드러난 사례”라고 설명한다. 또한 “윈도우에 원래부터 설치된 합법적인 기능들을 해커들 측에서 오히려 활용하는 사례가 늘고 있다는 것도 주의해야 한다”고 말한다. “해커들은 점점 더 자신을 감추는 데에 능숙해지고 있습니다. 이 기술 발전의 방향성을 이해하고, 선제적으로 대처할 수 있어야 합니다.”
또한 해당 해킹 단체가 드롭박스라는 클라우드 업체나 다양한 여행사인 것처럼 행동하기 위해 내부 인프라까지 확장하고 업데이트 시킨 것에도 주목해야 한다고 팔로알토는 덧붙였다. “가짜를 진짜처럼 보이기 위한 그들의 노력이 경이로울 지경입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
내부 인프라 업그레이드시켜 드롭박스와 여행사인 것처럼 가장하기도
[보안뉴스 문가용 기자] 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 최근 스피어피싱과 다운로더를 이용한 추가 페이로드를 실행하는 원격 접근 툴(RAT)이 활발히 활용되고 있는 것을 발견했다. 이 RAT의 이름은 KHRAT으로, 중국의 사이버 스파이 그룹 드래곤오케이(DragonOK)와 관련이 있는 것으로 나타났다.
[이미지 = iclickart]
드래곤오케이는 과거에 다양한 멀웨어를 사용해온 단체로, 넷트래블러(NetTraveler) 혹은 트래브넷(TravNet), 플러그엑스(PlugX), 세이커(Saker), 넷봇(Netbot), 다크스트랫(DarkStRat), 제로티(ZeroT) 등이 대표적인 무기로 알려졌다. 특히 중국 근처 국가와 러시아를 겨냥해온 단체들이다. 최근에는 캄보디아의 조직들을 공격하는 데에 주력해왔다.
KHRAT은 기기의 사용자 이름, 시스템 언어, 로컬 IP 주소 등을 사용해 피해자들을 등록시키는 기능을 가지고 있다. 동시에 원격 시스템 제어, 키로깅, 스크린샷 캡처, 원격 쉘 접근 등 기본적인 RAT의 기능들을 제공하는 건 물론이다.
이 멀웨어의 샘플을 확보하고 분석한 팔로알토는 1) 드래곤오케이의 스피어피싱 기술이 크게 발전했다, 2) 다양한 방법을 사용해 추가 페이로드를 다운로드받고 실행하는데 3) 이때 기본적으로 윈도우에 탑재된 애플리케이션들을 사용한다, 는 사실을 발견했다. 또한 인프라도 확장해 유명 클라우드 서비스인 드롭박스(Dropbox)를 매우 그럴듯하게 흉내 내고 있다는 것도 알아냈다.
캄보디아를 겨냥한 이번 공격은 이미 7월부터 발견되어 왔다. 이 때 MS 워드 문서가 사용되고 있는 것이 발견되었는데, 문서의 제목에는 MIWRMP라는 글자가 들어가 있었다. 이는 Mekong Integrated Water Resources Management Project(메콩 강 통합 수자원 관리 프루젝트)의 약자로, 실제로 동북부 캄보디아에서 진행되고 있는 수천만 달러 규모의 프로젝트다. 그러니 깜빡 속을 확률이 높다.
이 문서를 다운로드받고 실행시키면 특정 매크로를 활성화시키라는 안내창이 뜨고, 이에 응하면 VBA 코드가 실행돼 악성 행위가 시작된다. 악성 행위라고 하면 시스템 태스크 스케줄을 바꾸거나 특정 자바스크립트 코드를 호출하고 실행시키는 것을 말한다. 해당 문서는 update.upload-dropbox.com이라는 도메인과 연결되어 있기도 했는데, 침해된 캄보디아 정부 기관 웹사이트에 호스팅되어 있었다. 분석해 보니 regsvr32.exe라는 정상적인 프로그램을 실행시켜 윈도우의 방어 기제들을 회피하는 기능을 가지고 있었다.
한편 VBA 코드가 실행시키는 자바스크립트는 사이트 방문자를 파악, 추적하는 기능을 가지고 있는 것으로 나타났다. 사용자-에이전트, 도메인, 쿠키, 리퍼러, 플래시 버전 등의 데이터를 수집하기도 하며, 중국 소프트웨어 개발자 네트워크(CSDN) 웹사이트에 호스팅된 한 블로그에서 발견된 자바스크립트와 매우 유사했다. 하지만 팔로알토는 해당 블로그에 대해서는 아직 이렇다 할 정보를 밝히지 않고 있지만 깃허브나 페이스트빈 등 큰 규모의 개발자 네트워크에서 악성 코드가 공유되는 건 흔한 일이기도 하다.
팔로알토 측은 “국가적 관심사를 활용한 소셜 엔지니어링 공격이 얼마나 효과적일 수 있는지가 드러난 사례”라고 설명한다. 또한 “윈도우에 원래부터 설치된 합법적인 기능들을 해커들 측에서 오히려 활용하는 사례가 늘고 있다는 것도 주의해야 한다”고 말한다. “해커들은 점점 더 자신을 감추는 데에 능숙해지고 있습니다. 이 기술 발전의 방향성을 이해하고, 선제적으로 대처할 수 있어야 합니다.”
또한 해당 해킹 단체가 드롭박스라는 클라우드 업체나 다양한 여행사인 것처럼 행동하기 위해 내부 인프라까지 확장하고 업데이트 시킨 것에도 주목해야 한다고 팔로알토는 덧붙였다. “가짜를 진짜처럼 보이기 위한 그들의 노력이 경이로울 지경입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
