Home > 전체기사

항공우주산업 및 군 정보 탈취 캠페인, 배후는 북한?

  |  입력 : 2020-06-18 09:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유럽과 중동의 항공우주산업과 군 관련 업체를 노리고 진행된 스피어피싱 캠페인
링크드인을 통해 일자리 제안서를 보내는 것으로 시작...리빙 오프 더 랜드 전략 사용


[보안뉴스 문가용 기자] 링크드인(LinkedIn)의 메신저 기능을 활용한 스피어피싱 캠페인이 발견됐다. 공격자들은 주로 콜린스 에어로스페이스(Collins Aerospace)나 제너럴 다이내믹스(General Dynamics)와 같은 회사의 인사 담당자인 것처럼 위장해 일자리를 제안하는 식으로 피해자들을 꼬드겼다. 일자리를 제안하며 악성 문서도 같이 보내 멀웨어를 심음으로써 여러 가지 데이터를 빼내는 것이 공격자들의 목적이었다.

[이미지 = utoimage]


이 공격은 ‘인셉션 작전(Operation Inception)’ 혹은 ‘인터셉션 작전(Operation Interception)’이라고 알려진 광범위한 캠페인의 일환으로 분석되고 있다. 이 작전은 유럽과 중동의 항공우주산업과 군 관련 기업들을 겨냥해 진행되는 것으로, 작년 9월에서 12월 사이에 주로 나타났었다. 공격자들의 가장 큰 목표는 ‘정찰’ 혹은 ‘정보 수집’인 것으로 알려져 있다. 그러나 BEC 공격을 동반하기도 하는 등 금전적 목적을 드러내는 경우도 있었다.

이 공격을 분석한 보안 업체 이셋(ESET)에 의하면 “고도의 표적 공격이 링크드인을 활용한 소셜 엔지니어링 기법을 통해 이뤄졌으며, 다단계 멀웨어 감염으로 이어졌다”고 한다. “자신들의 활동을 감추기 위해 공격자들은 멀웨어를 반복적으로 컴파일링 했습니다. 또한 윈도우에 기본으로 설치된 유틸리티들을 악용하고, 정상적인 소프트웨어인 것처럼 위장하기도 했습니다. 이들이 사용한 자체 제작 멀웨어는 현재까지 제대로 문서화 된 적이 없습니다.”

피해자 입장에서 보면, 어느 날 링크드인을 통해 유명 기업의 인사 담당자가 입사 제안서를 보내는 것부터 일이 시작된다. 이 제안서는 주로 비밀번호로 잠겨 있는 RAR 아카이브 파일이며, 그 속에는 LNK 파일이 포함되어 있다. 피해자가 압축을 풀고 이 파일을 열면 정상 입사 제안서처럼 보이는 PDF 문서가 열린다. 연봉 등 직무에 관한 정보가 기술되어 있다.

하지만 이 PDF 파일은 미끼다. 피해자가 가짜 정보에 정신이 팔려 있는 동안 배경에서 명령 프롬프트가 실행되고, 태스크 스케줄러(Task Scheduler)를 통해 작업을 예약한다. 특정 시간에 공격자가 원하는 작업이 시작되도록 함으로써 공격 지속성을 확보하는 것이다. 여기서 작업이란, 주로 원격 XSL 스크립트를 실행하는 것이다.

이 XSL 스크립트는 베이스64(base64)를 기반으로 한 페이로드로, 윈도우 기본 유틸리티 중 하나인 certutil을 통해 복호화 된다. 그 다음으로는 rundll32이라는 윈도우 명령행 프로그램을 통해 파워셸 DLL이 다운로드 된 후 실행된다. 이렇게 윈도우에 이미 설치되어 있는 유틸리티를 공격에 활용하는 수법을 ‘리빙 오프 더 랜드(living off the land)’라고 부르는데, 보안 도구에 잘 탐지되지 않는다는 장점을 가지고 있다.

이셋이 분석한 결과 공격자들은 액티브 디렉토리 서버에 직원 목록을 요청했고, 이 중 관리자 계정이 있을 경우 비밀번호를 파악하려 브루트포스 공격을 실시했다고 한다. 또한 피해자 시스템으로부터 모은 각종 정보를 RAR 파일에 저장해두고, 드롭박스(DropBox) 사용자와 관리자들을 위한 일반 오픈소스 명령행 클라이언트인 dbxcli를 활용하기도 했다고 한다.

“이들의 공격 수법 등을 분석했을 때, 궁극적인 목표는 기술 정보나 영업 관련 비밀들을 훔치는 것으로 보입니다. 하지만 정확히 어떤 유형의 파일들을 노리고 있는지는 알 수 없었습니다.”

이런 공격을 실시하던 공격자들은 한 피해 기업의 이메일을 통해 계산서 발행 및 지급과 관련된 작은 언쟁이 파트너사와 벌어지고 있다는 걸 알게 됐다. 공격자들은 해당 피해 기업으로 위장해 파트너사와의 언쟁을 이어갔고, 그러면서 공격자 자신들이 통제하고 있는 계좌로 돈을 송금하도록 유도하기도 했다. BEC 공격을 실시한 것이다. 다행히 회사는 속지 않았고, 직접적인 현금 피해를 입은 사람은 없었다.

이셋은 공격자의 정체를 명확히 드러내는 증거는 확보하지 못했지만 북한의 라자루스(Lazarus)의 것이라고 보이는 흔적들을 몇 가지 발견하는 데는 성공했다고 밝혔다. 표적 공격을 실시하는 수법과, 그러한 공격을 위해 환경을 조성하는 방식, 분석 방해 기술 등이 여러 모로 비슷하다는 것이다. “이들이 만든 가짜 이력서 혹은 가짜 이직 제안서를 자세히 살펴보면 철자나 문법 오류를 발견할 수 있습니다. 따라서 링크드인을 통해 갑자기 제안서가 날아오면 유심히 살펴보세요.”

3줄 요약
1. 작년 9월부터 시작된 정보 탈취 캠페인, 최근 유럽과 중동의 항공우주산업과 군 기관 노림.
2. 링크드인을 통해 공격 표적에게 가짜 직업 제안서를 보내는 것으로 시작.
3. 배후 세력 정확히 알 수 없으나 여러 수법과 도구들이 북한의 라자루스를 닮았음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)