카스퍼스키랩 측은 “2018년 3월, 우리는 2017년 가을부터 시작된 것으로 추정되는, 중앙 아시아 국가 데이터센터를 타깃으로 한 지속적인 캠페인을 발견했다. 해당 캠페인의 타깃을 분석한 결과, 공격자들이 광범위한 정부 자원에 접근할 수 있다는 사실을 알아냈다. 우리는 이 접근을 통해 국가 공식 웹 사이트에 악성 스크립트를 삽입한 후 공격을 수행한 것으로 보고 있다”고 설명했다.
공격자는 브라우저 익스플로잇테이션 프레임워크(BeEF) 또는 스캔박스(ScanBox) 정찰 프레임워크를 제공하기 위해 정부 웹 사이트를 공격했다. 이 그룹에 대해 보고할 당시, 전문가들은 공격자가 정부 웹 사이트를 공격한 경로를 알 수 없었다.
카스퍼스키 연구원은 “웹 사이트는 방문자가 BeEF와 ScanBox의 인스턴스로 리디렉션 되도록 조작됐다. 이와 같은 리디렉션은 Dean Edwards 패커와 비슷한 도구에 의해 난독화된 두 개의 악성 스크립트를 추가해 구현되었다”고 말한다.
카스퍼스키가 공식화한 가설 중 하나는 패커가 무기화된 오피스 문서를 사용해 CVE-2017-11882 취약점을 트리거했다는 것이다. 해당 방식은 '코발트(Cobalt)' 그룹 등 다른 APT 그룹에서도 사용했다. 카스퍼스키가 모니터링한 이 캠페인은 '하이퍼브로(HyperBro)'로 명명된 RAT를 활용했고 코드는 중국어를 사용해 작성되어 있었다. 해당 모듈의 타임 스탬프는 2017년 12월부터 2018년 1월까지였다.
메인 C&C 서버는 우크라이나 ISP와 연결된 IP 주소에서 호스팅되는 bbs.sonypsps.com이었다. IP 주소는 2016년 3월에 배포된 펌웨어 버전 6.34.4를 실행하는 Mikro Tik 라우터에 속해 있고, SMBv1이 장착된 장치는 Emissary Panda 해커에 의해 해킹되었을 가능성도 존재한다.
카스퍼스키는 공격자들이 사용한 전략, 기법, 기술은 중국어를 사용하는 공격자들에게 매우 일반적인 것이라고 설명한다.
여기서 흥미로운 점은 이들의 타깃이다. 국가 데이터 센터는 공식 웹 사이트 공격에 악용할 수 있는 중요한 자원이었다. 또 하나는 Mikrotik 라우터이다. 이유는 분명하지 않지만 일반적으로 중국어를 사용하는 공격자들은 캠페인을 위장하지 않는다. 어쩌면 이들이 새로운 은밀한 접근법을 사용하기 위한 첫번째 단계였을 수도 있다.
★정보보안 대표 미디어 데일리시큐!★