한국의 제조업, 철강 산업 등에 속한 기업들 노린 캠페인...민감한 정보 노려
공격자의 정체에 대해서는 힌트조차 없어...중국, 일본, 태국에서도 일부 피해자 나와
[보안뉴스 문가용 기자] 보안 업체 사이버엑스(CyberX)가 한국의 산업 시설을 겨냥한 사이버 캠페인을 발견했다. 현재 한 공격 단체가 한국의 여러 산업 시설에 멀웨어를 뿌리면서 비밀번호와 각종 문서들을 훔쳐내느 중이라고 한다.
[이미지 = iclickart]
사이버엑스는 이 캠페인에 ‘강남 인더스트리얼 스타일(Gangnam Industrial Style)’이라는 이름을 붙였다. 현재도 진행 중이며, 따라서 조사도 아직 진행되고 있다고 한다. 또한 지금 시점까지도 공격의 근원지나, 공격자들이 사용하는 언어가 무엇인지도 밝혀지지 않은 상태다. 게다가 공격자들이 C&C 서버를 무료 호스팅 서비스에 마련하고 있어, 정체를 밝힌다는 게 더더욱 어려워지고 있는 상황이라고 한다.
사이버엑스의 부회장인 데이비드 앳치(David Atch)는 “기존 사이버 공격들의 경우 DNS 등록 기록을 추적하면 어느 정도 범인들의 윤곽이 드러났었는데, 이번엔 그렇지 않다”고 설명했다. “따라서 아직까지 공격자들의 공격 동기도 확실치 않습니다. 현재 크리덴셜과 문서들을 도난당하고 있는데, 그건 여러 공격자들이 거의 공통적으로 저지르는 행위라 특정 그룹을 지정할 수 없습니다.”
사이버엑스에 의하면 공격자들은 세파(Separ)라는 정보 탈취용 멀웨어의 최신 버전을 사용하고 있다고 한다. 세파는 2017년에 처음 발견된 멀웨어이지만, 2013년부터 공격자들이 활용해온 것으로 보인다.
초기의 세파들은 비밀번호만 훔치도록 설계되어 있었다. 하지만 이번에 강남 인더스트리얼 스타일 캠페인에서 사용되고 있는 세파는 각종 파일들까지도 훔칠 수 있도록 향상되었다. 게다가 자동 실행(Autorun) 기능도 있어 공격의 지속성을 확보하기까지 한다.
현재 세파는 스피어 피싱 이메일을 통해 피해자들에게 전파되고 있다. 피싱 메일에는 여러 가지 종류가 있는데 현재까지 발견된 건 다음과 같다.
1) 체코에 있는 지멘스의 발전소 설계 전문 자회사로부터 온 견적 요청서
2) 한 일본 대기업이 인도네시아에서 설계한 발전소와 관련된 견적 요청서
3) 유럽의 거대 엔지니어링 회사에서 온 것처럼 만들어진 이메일
사이버엑스는 약 200개의 시스템들이 이 공격에 당했다고 말한다. “이 중에는 주요 사회 기반 시설에 들어가는 장비를 생산하는 한국의 공룡 기업 한 군데, 엔지니어링 업체 하나, 화학 공장 건축 회사 하나, 철제, 파이프, 밸브 생산 전문 조직 등이 포함되어 있습니다.”
피싱 메일들에는 ZIP으로 압축된 파일 하나가 첨부되어 있다. 겉으로 보기에는 아무런 문제 없는 PDF 문서로 보인다. 하지만 피해자가 이를 실행시킬 경우 네트워크에 이는 모든 어댑터들을 매핑하고, 윈도우 방화벽을 비활성화 시키며, 브라우저와 이메일 비밀번호를 수집하기 시작한다. 또한 공격자들이 지정한 확장자를 가진 파일들도 수집한다. 이 모든 정보는 한 FTP 서버로 업로드 된다.
현재까지 이 캠페인에 당한 피해자의 57%가 한국에 있는 것으로 나타났다. 그 외에 중국, 태국, 일본, 인도네시아, 터키, 독일, 에콰도르, 영국의 기업들에서도 피해가 나타났다. 산업별로는 피해자의 절반 이상이 제조업에 속해 있었고, 철강, 엔지니어링, 대기업이 순서대로 뒤를 이었다.
3줄 요약
1. 강남 인더스트리얼 스타일 캠페인, 한국 기업들 중심으로 퍼지는 중.
2. 세파라는 정보 탈취형 멀웨어가 스피어 피싱 메일 통해 전달되고 있음.
3. 크리덴셜과 영업 비밀 등 민감한 정보가 한 FTP 서버로 올라가는 중.
[국제부 문가용 기자(globoan@boannews.com)]
공격자의 정체에 대해서는 힌트조차 없어...중국, 일본, 태국에서도 일부 피해자 나와
[보안뉴스 문가용 기자] 보안 업체 사이버엑스(CyberX)가 한국의 산업 시설을 겨냥한 사이버 캠페인을 발견했다. 현재 한 공격 단체가 한국의 여러 산업 시설에 멀웨어를 뿌리면서 비밀번호와 각종 문서들을 훔쳐내느 중이라고 한다.
[이미지 = iclickart]
사이버엑스는 이 캠페인에 ‘강남 인더스트리얼 스타일(Gangnam Industrial Style)’이라는 이름을 붙였다. 현재도 진행 중이며, 따라서 조사도 아직 진행되고 있다고 한다. 또한 지금 시점까지도 공격의 근원지나, 공격자들이 사용하는 언어가 무엇인지도 밝혀지지 않은 상태다. 게다가 공격자들이 C&C 서버를 무료 호스팅 서비스에 마련하고 있어, 정체를 밝힌다는 게 더더욱 어려워지고 있는 상황이라고 한다.
사이버엑스의 부회장인 데이비드 앳치(David Atch)는 “기존 사이버 공격들의 경우 DNS 등록 기록을 추적하면 어느 정도 범인들의 윤곽이 드러났었는데, 이번엔 그렇지 않다”고 설명했다. “따라서 아직까지 공격자들의 공격 동기도 확실치 않습니다. 현재 크리덴셜과 문서들을 도난당하고 있는데, 그건 여러 공격자들이 거의 공통적으로 저지르는 행위라 특정 그룹을 지정할 수 없습니다.”
사이버엑스에 의하면 공격자들은 세파(Separ)라는 정보 탈취용 멀웨어의 최신 버전을 사용하고 있다고 한다. 세파는 2017년에 처음 발견된 멀웨어이지만, 2013년부터 공격자들이 활용해온 것으로 보인다.
초기의 세파들은 비밀번호만 훔치도록 설계되어 있었다. 하지만 이번에 강남 인더스트리얼 스타일 캠페인에서 사용되고 있는 세파는 각종 파일들까지도 훔칠 수 있도록 향상되었다. 게다가 자동 실행(Autorun) 기능도 있어 공격의 지속성을 확보하기까지 한다.
현재 세파는 스피어 피싱 이메일을 통해 피해자들에게 전파되고 있다. 피싱 메일에는 여러 가지 종류가 있는데 현재까지 발견된 건 다음과 같다.
1) 체코에 있는 지멘스의 발전소 설계 전문 자회사로부터 온 견적 요청서
2) 한 일본 대기업이 인도네시아에서 설계한 발전소와 관련된 견적 요청서
3) 유럽의 거대 엔지니어링 회사에서 온 것처럼 만들어진 이메일
사이버엑스는 약 200개의 시스템들이 이 공격에 당했다고 말한다. “이 중에는 주요 사회 기반 시설에 들어가는 장비를 생산하는 한국의 공룡 기업 한 군데, 엔지니어링 업체 하나, 화학 공장 건축 회사 하나, 철제, 파이프, 밸브 생산 전문 조직 등이 포함되어 있습니다.”
피싱 메일들에는 ZIP으로 압축된 파일 하나가 첨부되어 있다. 겉으로 보기에는 아무런 문제 없는 PDF 문서로 보인다. 하지만 피해자가 이를 실행시킬 경우 네트워크에 이는 모든 어댑터들을 매핑하고, 윈도우 방화벽을 비활성화 시키며, 브라우저와 이메일 비밀번호를 수집하기 시작한다. 또한 공격자들이 지정한 확장자를 가진 파일들도 수집한다. 이 모든 정보는 한 FTP 서버로 업로드 된다.
현재까지 이 캠페인에 당한 피해자의 57%가 한국에 있는 것으로 나타났다. 그 외에 중국, 태국, 일본, 인도네시아, 터키, 독일, 에콰도르, 영국의 기업들에서도 피해가 나타났다. 산업별로는 피해자의 절반 이상이 제조업에 속해 있었고, 철강, 엔지니어링, 대기업이 순서대로 뒤를 이었다.
3줄 요약
1. 강남 인더스트리얼 스타일 캠페인, 한국 기업들 중심으로 퍼지는 중.
2. 세파라는 정보 탈취형 멀웨어가 스피어 피싱 메일 통해 전달되고 있음.
3. 크리덴셜과 영업 비밀 등 민감한 정보가 한 FTP 서버로 올라가는 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
