세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
중동 노리던 오일리그 공격, 지역과 산업 넓히는 중
  |  입력 : 2017-03-22 10:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중동의 정부와 금융 기관 노리던 오일리그 캠페인, 확장 중
코드 이미 널리 퍼져 또 다른 공격자들에게도 사용될 수 있어


[보안뉴스 문가용 기자] 위협 첩보 업체인 로그리듬 랩스(LogRhythm Labs)는 최근 오일리그(Oil Rig)라는 멀웨어가 활용된 캠페인을 발견해 업계에 알려왔다. 이 캠페인은 중동 지역의 정부, 금융, 항공 기관과 주요 사회 기반 구조를 집중해서 노리고 있다고 한다. 오일리그와 관련이 있는 사이버 공격이 처음 발견된 건 2015년 후반이다. 그 후 이 오일리그가 크게 눈에 띈 활동을 벌인 건 크게 두 번인데, 바로 2016년 5월과 10월이다.


현재까지 수집된 샘플은 전부 엑셀 파일로, 피싱 이메일에 첨부되어 배포된다. 이 피싱 이메일은 터키 정부 기관으로부터 온 것처럼 꾸며져 있다. 공격자는 감염 성공시킨 시스템을 원격에서 통제할 수 있게 되는데, 여기에는 명령 실행, 파일 업로드 및 다운로드와 같은 행위들이 포함된다.

오일리그 공격은 초반에 중동 지역의 은행과 정부기관을 주로 공격했다. 사회 기반 시설들도 주요 표적에 포함되곤 했다. 하지만 시간이 지남에 따라 공격 표적이 지역, 산업적으로 넓어졌다. 무슨 말이냐면, 예를 들어 2016년 10월에는 오일리그가 미국의 기업들을 공격하기 시작했다. 동시에 사우디아라비아, UAE, 카타르, 터키, 이스라엘의 여러 단체들이 오일리그의 공격을 받았다. 이때쯤부터 중동의 항공사들이 처음으로 공격을 받기 시작했다.

공격의 유형은 대부분 ‘스파잉’이었다. 즉 지적재산을 훔쳐내거나 개인정보를 탈취하는 등의 악성 행위를 저지른다기보다 오랜 시간 머물며 표적을 관찰하는 것이 주 목적인 것으로 밝혀졌다는 것이다. 앞으로도 오일리그는 더 많은 산업들을 공격해 스파잉 행위를 지속할 것으로 예상된다.

여러 나라에서 발견되다보니, 이 멀웨어 샘플 역시 다양한 국가에서 수집되었다. 사우디아라비아는 22개의 고유 샘플을 발견했고, 영국이 11개, 미국이 9개를 보안 커뮤니티에 제공했다. 가장 많은 공격을 받는 나라가 자연스럽게 가장 많은 샘플을 수집한 것이라고 볼 수 있다. 하지만 UAE, 카타르, 이스라엘, 터키, 아제르바이잔의 경우 공격을 받았다는 공식적인 기록이 있지는 않다. 다만 터키나 이스라엘이 언급된 악성 파일 샘플 등 공격받았을 가능성을 뒷받침해주는 증거들이 다수 존재한다.

로그리듬 랩스는 23개의 고유한 악성 엑셀 파일을 수집해 분석했다. 그리고 파일 이름, 출처(국가), 발견 시기, C&C 기술 유형 등을 기준으로 총 네 가지로 분류하는 데에 성공했다. 그리고 네 가지 종류 중 가장 대표적인 샘플을 하나씩 선택해 심층 분석에 들어갔다. 분석 결과, 이 악성 엑셀 문서들이 실행되면, 파워쉘(.ps1)과 비주얼베이직 스크립트로 감염이 진행된다는 것이 발견됐다. 또한 마이크로소프트의 Scheduled Tasks 기능을 활용해 지속적인 스파잉을 진행하며, 파일 업로드/다운로드와 같은 기본적인 명령도 실행할 수 있다고 한다.

C&C 서버와의 통신은 기본적으로 HTTP를 기반으로 하고 있으나, DNS를 활용하는 기법도 장착되어 있었다. 데이터를 빼내거나 서버로부터 받는 메커니즘도 멀웨어에서 발견되었으며, 커스터마이징 된 UDP 패킷이나 DNS 기록에 대한 쿼리와 응답 패턴 또한 분석을 통해 찾아냈다. 로그리듬은 보고서를 통해 이러한 통신이 이뤄지고 있는지를 탐지해내는 방법과 해결법을 자세히 기술했다.

결과적으로 오일리그는 그리 ‘고급형’ 공격은 아니지만 효율성 측면에서 뛰어나다고 로그리듬은 설명한다. “악성 VBA와 VBS, 파워쉘 코드가 덧입혀진 엑셀 파일로 강력한 백도어를 만들어낸 것이 이번 공격의 핵심입니다. 여기에 스피어피싱 기술을 활용해 악성 페이로드를 피해 시스템에 떨어트렸죠. 여태까지는 엑셀 파일만 사용되었는데, 다른 유형의 파일도 똑같이 활용될 수 있습니다.”

또한 이번 공격에 사용된 멀웨어 코드가 이미 널리 알려지고 있다는 것도 염두에 두어야 한다고 로그리듬은 경고한다. “또 다른 공격자들이 이 코드를 사용해 전혀 엉뚱한 표적을 노리는 공격을 감행할 수 있습니다. 그러면 여태까지 발견되지 않은 국가나 산업의 조직들이 피해를 보겠고요. 그러니 사실 중동 지역에 있는 업체가 아니더라도 이 멀웨어 분석 결과를 가지고 방어를 더 강화해야 할 겁니다.”

해당 상세 보고서는 여기를 통해 다운로드가 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#중동   #캠페인   #멀웨어   #이란   #오일리그   


보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)