Home > 전체기사

항공우주산업 및 군 정보 탈취 캠페인, 배후는 북한?

  |  입력 : 2020-06-18 09:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유럽과 중동의 항공우주산업과 군 관련 업체를 노리고 진행된 스피어피싱 캠페인
링크드인을 통해 일자리 제안서를 보내는 것으로 시작...리빙 오프 더 랜드 전략 사용


[보안뉴스 문가용 기자] 링크드인(LinkedIn)의 메신저 기능을 활용한 스피어피싱 캠페인이 발견됐다. 공격자들은 주로 콜린스 에어로스페이스(Collins Aerospace)나 제너럴 다이내믹스(General Dynamics)와 같은 회사의 인사 담당자인 것처럼 위장해 일자리를 제안하는 식으로 피해자들을 꼬드겼다. 일자리를 제안하며 악성 문서도 같이 보내 멀웨어를 심음으로써 여러 가지 데이터를 빼내는 것이 공격자들의 목적이었다.

[이미지 = utoimage]


이 공격은 ‘인셉션 작전(Operation Inception)’ 혹은 ‘인터셉션 작전(Operation Interception)’이라고 알려진 광범위한 캠페인의 일환으로 분석되고 있다. 이 작전은 유럽과 중동의 항공우주산업과 군 관련 기업들을 겨냥해 진행되는 것으로, 작년 9월에서 12월 사이에 주로 나타났었다. 공격자들의 가장 큰 목표는 ‘정찰’ 혹은 ‘정보 수집’인 것으로 알려져 있다. 그러나 BEC 공격을 동반하기도 하는 등 금전적 목적을 드러내는 경우도 있었다.

이 공격을 분석한 보안 업체 이셋(ESET)에 의하면 “고도의 표적 공격이 링크드인을 활용한 소셜 엔지니어링 기법을 통해 이뤄졌으며, 다단계 멀웨어 감염으로 이어졌다”고 한다. “자신들의 활동을 감추기 위해 공격자들은 멀웨어를 반복적으로 컴파일링 했습니다. 또한 윈도우에 기본으로 설치된 유틸리티들을 악용하고, 정상적인 소프트웨어인 것처럼 위장하기도 했습니다. 이들이 사용한 자체 제작 멀웨어는 현재까지 제대로 문서화 된 적이 없습니다.”

피해자 입장에서 보면, 어느 날 링크드인을 통해 유명 기업의 인사 담당자가 입사 제안서를 보내는 것부터 일이 시작된다. 이 제안서는 주로 비밀번호로 잠겨 있는 RAR 아카이브 파일이며, 그 속에는 LNK 파일이 포함되어 있다. 피해자가 압축을 풀고 이 파일을 열면 정상 입사 제안서처럼 보이는 PDF 문서가 열린다. 연봉 등 직무에 관한 정보가 기술되어 있다.

하지만 이 PDF 파일은 미끼다. 피해자가 가짜 정보에 정신이 팔려 있는 동안 배경에서 명령 프롬프트가 실행되고, 태스크 스케줄러(Task Scheduler)를 통해 작업을 예약한다. 특정 시간에 공격자가 원하는 작업이 시작되도록 함으로써 공격 지속성을 확보하는 것이다. 여기서 작업이란, 주로 원격 XSL 스크립트를 실행하는 것이다.

이 XSL 스크립트는 베이스64(base64)를 기반으로 한 페이로드로, 윈도우 기본 유틸리티 중 하나인 certutil을 통해 복호화 된다. 그 다음으로는 rundll32이라는 윈도우 명령행 프로그램을 통해 파워셸 DLL이 다운로드 된 후 실행된다. 이렇게 윈도우에 이미 설치되어 있는 유틸리티를 공격에 활용하는 수법을 ‘리빙 오프 더 랜드(living off the land)’라고 부르는데, 보안 도구에 잘 탐지되지 않는다는 장점을 가지고 있다.

이셋이 분석한 결과 공격자들은 액티브 디렉토리 서버에 직원 목록을 요청했고, 이 중 관리자 계정이 있을 경우 비밀번호를 파악하려 브루트포스 공격을 실시했다고 한다. 또한 피해자 시스템으로부터 모은 각종 정보를 RAR 파일에 저장해두고, 드롭박스(DropBox) 사용자와 관리자들을 위한 일반 오픈소스 명령행 클라이언트인 dbxcli를 활용하기도 했다고 한다.

“이들의 공격 수법 등을 분석했을 때, 궁극적인 목표는 기술 정보나 영업 관련 비밀들을 훔치는 것으로 보입니다. 하지만 정확히 어떤 유형의 파일들을 노리고 있는지는 알 수 없었습니다.”

이런 공격을 실시하던 공격자들은 한 피해 기업의 이메일을 통해 계산서 발행 및 지급과 관련된 작은 언쟁이 파트너사와 벌어지고 있다는 걸 알게 됐다. 공격자들은 해당 피해 기업으로 위장해 파트너사와의 언쟁을 이어갔고, 그러면서 공격자 자신들이 통제하고 있는 계좌로 돈을 송금하도록 유도하기도 했다. BEC 공격을 실시한 것이다. 다행히 회사는 속지 않았고, 직접적인 현금 피해를 입은 사람은 없었다.

이셋은 공격자의 정체를 명확히 드러내는 증거는 확보하지 못했지만 북한의 라자루스(Lazarus)의 것이라고 보이는 흔적들을 몇 가지 발견하는 데는 성공했다고 밝혔다. 표적 공격을 실시하는 수법과, 그러한 공격을 위해 환경을 조성하는 방식, 분석 방해 기술 등이 여러 모로 비슷하다는 것이다. “이들이 만든 가짜 이력서 혹은 가짜 이직 제안서를 자세히 살펴보면 철자나 문법 오류를 발견할 수 있습니다. 따라서 링크드인을 통해 갑자기 제안서가 날아오면 유심히 살펴보세요.”

3줄 요약
1. 작년 9월부터 시작된 정보 탈취 캠페인, 최근 유럽과 중동의 항공우주산업과 군 기관 노림.
2. 링크드인을 통해 공격 표적에게 가짜 직업 제안서를 보내는 것으로 시작.
3. 배후 세력 정확히 알 수 없으나 여러 수법과 도구들이 북한의 라자루스를 닮았음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화