2024-03-29 10:24 (금)
우크라이나 겨냥 사이버공격 캠페인 멀웨어...Quasar, Sobaken, VERMIN RAT
상태바
우크라이나 겨냥 사이버공격 캠페인 멀웨어...Quasar, Sobaken, VERMIN RAT
  • hsk 기자
  • 승인 2018.07.22 17:56
이 기사를 공유합니다

code-820275_640.jpg
해외 보안 연구원들이 우크라이나 정부 기관을 겨냥해 진행 중인 사이버 간첩 캠페인을 발견했다. 공격자는 적어도 세가지 원격 접속 트로이목마(RAT)를 사용했다. 해당 캠페인은 지난 1월, 팔로알토네트웍스 보안 전문가들이 우크라이나 기관들을 타깃으로 하는 VERMIN RAT 멀웨어를 추척하면서 처음 발견됐다.

보안연구원들은 “우리가 발견한 초기 샘플과 인프라에 대해 더 자세히 살펴본 결과, 공격자들은 Quasar RAT와 VERMIN 두가지를 모두 사용해 2015년 말까지 캠페인을 수행했다”고 설명했다. 또한 공격자들이 민감한 문서를 빼내기 위해 Quasar, Sobaken, VERMIN 멀웨어를 사용한 증거도 수집했다.

Quasar RAT는 깃허브에서 무료로 사용할 수 있기 때문에 많은 다른 공격자가 Gaza-Cybergang(Gaza Hackers Team, Molerats로도 불림)을 포함한 여러 캠페인에 사용할 수 있었다. Sobaken은 몇가지 안티 샌드박스 및 기타 우회 매커니즘을 포함하는, Quasar RAT의 발전된 버전이다.

이 3가지 RAT는 서로 다른 타깃에 대해 동시에 사용되었고, 전문가들은 이들이 같은 C&C 서버에 연결되어 일부 인프라를 공유하고 있다고 분석한다. 공격 벡터는 스피어 피싱 메시지이고, 소셜 엔지니어링 기법을 사용해 사용자가 이메일을 열어 악성 코드를 다운로드하고 실행하도록 유인했다.

연구원들은 위협 행위자는 고급 기술이나 제로데이 취약점에 대한 권한을 가지고 있지 않지만, 오랜기간 사회 공학적 기법을 사용해 악성코드를 배포하는데 성공한 것으로 보인다고 판단했다. 또한 연구원들이 2015년 10월부터 공격자의 활동을 추적할 수 있었지만 실제로는 더 오랜기간 활동한 것으로 보이고, Quasar, Sobaken와 맞춤형 RAT인 VERMIN을 사용해 서로 다른 타깃을 공격해왔다고 설명한다.

일부 이메일은 CVE-2017-0199를 익스플로잇하는 무기화된 워드 문서를 포함하고 있었고, 공격자들은 최종 페이로드를 배포하기 위해 어도비, 인텔, 마이크로소프트 등 적법한 소프트웨어로 위장했다. 또한 공격자들은 감염된 시스템에서 지속성을 유지하기 위해 10분마다 악성 프로그램을 실행하는 예약 작업을 사용했다.

2017년 중반 이후 공격자들은 무료 이미지 호스팅 웹 사이트에 있는 이미지에 페이로드를 숨겨 컨텐츠를 필터링을 우회하는 스테가노그래피를 활용했다. 악성코드는 러시아어 또는 우크라이나어 자판이 설치된 호스트에서만 실행되고, 대상 컴퓨터의 IP 주소와 사용자 이름도 검사한다.

또한 DNS/HTTP 통신을 지원하는 Fakenet-NG와 같은 네트워크 분석 툴을 사용하는 자동화된 분석 시스템을 피하기 위해 멀웨어는 랜덤으로 웹사이트 이름과 URL을 생성해 연결을 시도했다. 연결에 실패할 경우에는 시스템은 가상 환경이 아닌 실제 환경으로 간주될 수 있다.

멀웨어 분석 보고서는 “우크라이나의 고부가가치 자산을 타깃으로 하는 멀웨어 공격들 중 이 공격자들은 대중적인 관심은 받지 못했는데, 이는 새로운 변형 멀웨어 VERMIN을 개발하기 전에 오픈소스 기반 멀웨어를 사용했기 때문으로 보인다. 지난 3년간 적용된 여러 멀웨어 계열과 감염 매커니즘 등을 볼때 공격자들은 다양한 기술 및 멀웨어를 경험하는 중이거나 여러 다른 하위 그룹들에 의해 작전이 수행되는 것으로 보인다”고 분석했다.

한편 데일리시큐는 오는 9월 10일 월요일 올해로 5회째 개최하는 국내 최고 퀄리티의 정보보안 인텔리전스 컨퍼런스 K-ISI 2018을 개최한다고 밝혔다.

로비에서는 사이버위협 대응 및 침해사고 대응, 정보보안 인텔리전스 전문 국내외 정보보안 기업들의 전시회도 열릴 예정이다. K-ISI 2018 발표와 전시회 참가를 희망하는 기업은 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 문의하면 된다.

사전등록자는 참석대상을 선별해 300명으로 제한하며 참석이 확정된 등록자에게는 최종 참석확정 문자를 보낸다. 참석자 200명에게는 선착순으로 점심식사권을 제공하며 주차는 지원하지 않는다. 발표자료는 행사 종료후 등록사이트에서 다운로드 가능하다. 참석을 희망하는 보안실무자는 아래 등록링크를 통해 사전등록 가능하다.

-K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★