Home > 전체기사
동남아시아 노리는 해킹 그룹 오션로터스, 업그레이드 되다
  |  입력 : 2018-11-22 09:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오션로터스, 9월부터 기존보다 발전된 기법으로 동남아 공격
공격자는 스스로를 부지런히 업그레이드…방어자는 업데이트 해야


[보안뉴스 문가용 기자] 지난 몇 개월 동안 해킹 그룹인 오션로터스(OceanLotus) 혹은 APT34 혹은 APT-C-00은 동남아시아의 웹사이트 여러 개를 겨냥해 워터링 홀 공격을 실시해왔다. 이 캠페인은 2018년 9월부터 진행됐으며, 그 동안 캄보디아 국방부, 캄보디아 외교국제협력부, 베트남 신문사 몇 곳, 베트남 블로거 웹사이트 여럿을 침해하는 데 성공했다고 한다.

[이미지 = iclickart]


보안 업체 볼렉시티(Volexity)가 밝혀낸 바에 의하면 “최근 공격은 오션로터스가 2017년 사용했던 이른바 오션로터스 프레임워크 B(OceanLotus Framework B)의 업그레이드 판인 것으로 보인다”고 한다. “공개 키 암호화 알고리즘도 업그레이드 됐습니다. 이전에는 AES 세션 키를 사용했거든요. 지금은 보다 강력한 것을 사용해 최종 페이로드가 백신이나 보안 솔루션에 탐지되지 않도록 하고 있습니다.”

탐지를 피하기 위해 오션로터스 공격자들은 스크립트들을 난독화시킨다. 최종 URL의 정적 추출을 막는 것이다. “공격자들은 공격 대상 웹사이트에서 사용하는 실제 자바스크립트 라이브러리와 똑 같은 URL을 사용합니다. 뿐만 아니라 다른 도메인 이름을 사용하거나 침해된 사이트에마다 다른 URI 혹은 다른 스크립트를 활용하기도 합니다.”

오션로터스는 최대한 눈에 띄지 않기 위해 침해된 웹사이트 하나 당 한 개의 첫 단계 공격용 도메인과 두 번째 단계 공격용 도메인을 따로 등록하기도 한다. 두 도메인은 다른 서버에 따로따로 호스팅되며, 이 서버들은 서로 다른 IP 주소를 가지고 있다. “그래서 공격자들은 최소 50개 도메인과 50개 서버를 등록, 확보한 것으로 보입니다.”

공격자들은 HTTP에서부터 웹소켓(WebSocket)으로 전환하기도 했다. 악성 통신을 감추기 위해서다. 볼렉시티는 침해된 사이트들에 이 같은 사실을 10월에 알렸다. 하지만 대부분 귓등으로도 듣지 않고 있다. 오션로터스가 주입한 악성 스크립트는 여전히 그 사이트들에 있으며, 오션로터스의 활동 역시 그대로 진행되고 있다고 한다.

“오션로터스도 그렇지만 대부분 해킹 단체들은 정기적으로 자신들의 툴셋과 전략을 업그레이드 합니다. 그러니 방어를 해야 하는 일반 사용자들은 시스템과 소프트웨어를 주기적으로 업데이트 해야 합니다. 업그레이드 된 전략은 업데이트로 막는 게 가장 효과적이고 쉽습니다. 특히 동남아의 사이트를 자주 들락거리는 사람들이라면 시스템 업데이트를 필수로 하십시오.”

3줄 요약
1. 동남아 주로 공격하는 오션로터스, 9월부터 여러 나라 침공.
2. 최근 공격에서는 툴셋과 전략 등에서 업그레이드 된 면모 나타남.
3. 공격자가 업그레이드 하면, 방어자는 업데이트!

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)