중동의 금융 단체 공격한 오일리그...표적도 예나 지금이나 중동
오일리그, 한 가지 공격 방법 고집하진 않지만 큰 전략은 비슷
[보안뉴스 문가용 기자] 오일리그(OilRig)라고 알려진 사이버 스파이 그룹이 최근 다시 한 번 공격에 나섰다는 소식이다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발견한 것이며, 오일리그는 이란과 연관이 있는 것으로 알려져 있는 단체다.
[이미지 = iclickart]
오일리그는 주로 중동의 조직들을 표적으로 삼아 활동해왔다. 최근 이들이 새롭게 나타나면서 들고 나온 무기는 트로이목마로 OopsIE라고 한다. 표적은 중동의 한 보험 관련 기관과 금융 관련 기관이라고 한다. 두 공격에서 모두 OopsIE가 발견됐다.
첫 번째 공격이 발견된 건 2018년 1월 8일이다. 한 조직 내 두 개의 이메일 주소로 악성 메일이 발송됐다. 두 메일 간 시간차는 6분이었다. 두 메일 다 레바논에 있는 대형 금융 기관의 도메인과 관련이 있었다. 팔로알토 측은 해당 기관의 도메인이 스푸핑된 것으로 보고 있다.
그러더니 1월 16일 오일리그는 1년 전 자신들이 공격했던 기관을 다시 한 번 공격했다. 피해를 받은 기관은 C&C 서버로부터 OopsIE를 다운로드 받았다. 이 기관은 1년 전 공격 때 발견된 오일리그의 TTP를 방어하기 위한 대책을 마련해둔 상태였는데, 오일리그가 한 번 더 꼰 것이다.
OopsIE 외에도 쓰리달러스(ThreeDollars)라는 멀웨어도 이번 공격에서 발견된 바 있다. 이는 2017년 10월 공격에서 발견된 멀웨어이기도 하다. 심지어 당시에 사용됐던 미끼용 이미지도 정확히 같았다. 하지만 쓰리달러스는 오피스 내 악성 매크로를 활성화시킴으로써 공격을 감행하는 기능을 가지고 있다.
쓰리달러스에는 두 가지 기능이 있는데, 하나는 1분에 한 번씩 base64로 암호화된 데이터를 복호화시키는 것이며, 다른 하나는 VB스크립트를 통해 OopsIE 트로이목마를 실행시킨 후 설치 흔적을 지워내는 것이다.
OopsIE는 컨퓨저엑스(ConfuserEx)로 난독화 처리되어 있고, VB스크립트 파일을 생성해 시스템 내 오랫동안 머물 수 있는 발판을 마련한다. 또한 3분에 한 번씩 가동되도록 스케줄도 조정한다. C&C 서버와 통신을 하되, InternetExplorer라는 애플리케이션 객체를 활용한다.
팔로알토는 “OopsIE는 특정 URL을 구축해 C&C 서버와 통신하고, C&C 서버로부터의 대응을 확인한다”고 설명한다. “그리고 C&C 서버로부터 명령을 받아 실행하고, 파일을 업로드 하거나 다운로드 받습니다. 끊임없는 공격의 출처가 되는 것이죠.”
이번 공격은 지난 오일리그 공격에서와 마찬가지로 msoffice365cdn[.]com이라는 도메인을 활용하고 있다. 이 도메인을 추적하다보면 같은 등록자 명의로 msoffice365cdn[.]com과 office365-technical[.]info라는 도메인이 나오기도 한다. 팔로알토는 이 모든 도메인들이 오일리그의 것이라고 보고 있다.
팔로알토는 “오일리그는 한 가지 공격 전략이나 기술을 고집하지 않으며, 오히려 빠른 적응과 변화가 특징인 단체”라고 설명한다. “또한 이미 한 물 갔다고 생각되는 기법들도 자유롭게 활용하는 편”이라고도 덧붙인다.
“다만 중동의 조직을 노린다는 점과 멀웨어를 통해 C&C 서버와 통신하면서 장기간 공격을 실행한다는 전형적인 공격 시나리오 자체는 그대로라고 볼 수 있습니다. 또한 새롭게 등장한 툴들이라고 해도 이전 툴을 약간 변형시킨 수준인 것이 대부분입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
오일리그, 한 가지 공격 방법 고집하진 않지만 큰 전략은 비슷
[보안뉴스 문가용 기자] 오일리그(OilRig)라고 알려진 사이버 스파이 그룹이 최근 다시 한 번 공격에 나섰다는 소식이다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발견한 것이며, 오일리그는 이란과 연관이 있는 것으로 알려져 있는 단체다.
[이미지 = iclickart]
오일리그는 주로 중동의 조직들을 표적으로 삼아 활동해왔다. 최근 이들이 새롭게 나타나면서 들고 나온 무기는 트로이목마로 OopsIE라고 한다. 표적은 중동의 한 보험 관련 기관과 금융 관련 기관이라고 한다. 두 공격에서 모두 OopsIE가 발견됐다.
첫 번째 공격이 발견된 건 2018년 1월 8일이다. 한 조직 내 두 개의 이메일 주소로 악성 메일이 발송됐다. 두 메일 간 시간차는 6분이었다. 두 메일 다 레바논에 있는 대형 금융 기관의 도메인과 관련이 있었다. 팔로알토 측은 해당 기관의 도메인이 스푸핑된 것으로 보고 있다.
그러더니 1월 16일 오일리그는 1년 전 자신들이 공격했던 기관을 다시 한 번 공격했다. 피해를 받은 기관은 C&C 서버로부터 OopsIE를 다운로드 받았다. 이 기관은 1년 전 공격 때 발견된 오일리그의 TTP를 방어하기 위한 대책을 마련해둔 상태였는데, 오일리그가 한 번 더 꼰 것이다.
OopsIE 외에도 쓰리달러스(ThreeDollars)라는 멀웨어도 이번 공격에서 발견된 바 있다. 이는 2017년 10월 공격에서 발견된 멀웨어이기도 하다. 심지어 당시에 사용됐던 미끼용 이미지도 정확히 같았다. 하지만 쓰리달러스는 오피스 내 악성 매크로를 활성화시킴으로써 공격을 감행하는 기능을 가지고 있다.
쓰리달러스에는 두 가지 기능이 있는데, 하나는 1분에 한 번씩 base64로 암호화된 데이터를 복호화시키는 것이며, 다른 하나는 VB스크립트를 통해 OopsIE 트로이목마를 실행시킨 후 설치 흔적을 지워내는 것이다.
OopsIE는 컨퓨저엑스(ConfuserEx)로 난독화 처리되어 있고, VB스크립트 파일을 생성해 시스템 내 오랫동안 머물 수 있는 발판을 마련한다. 또한 3분에 한 번씩 가동되도록 스케줄도 조정한다. C&C 서버와 통신을 하되, InternetExplorer라는 애플리케이션 객체를 활용한다.
팔로알토는 “OopsIE는 특정 URL을 구축해 C&C 서버와 통신하고, C&C 서버로부터의 대응을 확인한다”고 설명한다. “그리고 C&C 서버로부터 명령을 받아 실행하고, 파일을 업로드 하거나 다운로드 받습니다. 끊임없는 공격의 출처가 되는 것이죠.”
이번 공격은 지난 오일리그 공격에서와 마찬가지로 msoffice365cdn[.]com이라는 도메인을 활용하고 있다. 이 도메인을 추적하다보면 같은 등록자 명의로 msoffice365cdn[.]com과 office365-technical[.]info라는 도메인이 나오기도 한다. 팔로알토는 이 모든 도메인들이 오일리그의 것이라고 보고 있다.
팔로알토는 “오일리그는 한 가지 공격 전략이나 기술을 고집하지 않으며, 오히려 빠른 적응과 변화가 특징인 단체”라고 설명한다. “또한 이미 한 물 갔다고 생각되는 기법들도 자유롭게 활용하는 편”이라고도 덧붙인다.
“다만 중동의 조직을 노린다는 점과 멀웨어를 통해 C&C 서버와 통신하면서 장기간 공격을 실행한다는 전형적인 공격 시나리오 자체는 그대로라고 볼 수 있습니다. 또한 새롭게 등장한 툴들이라고 해도 이전 툴을 약간 변형시킨 수준인 것이 대부분입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
