Home > 전체기사
중동 노리는 APT 그룹 샤퍼, 자급자족 전략 통해 캠페인 벌여
  |  입력 : 2020-05-26 09:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2014년부터 활동해온 것으로 보이는 APT 단체...피해자의 도구들 그대로 사용해
‘리빙 오프 더 랜드’ 전략...탐지하는 데 매우 어려워 공격자들 사이에서 선호돼


[보안뉴스 문가용 기자] 샤퍼(Chafer)라는 APT 그룹이 새로운 사이버 범죄 캠페인을 시작한 것으로 보인다. 이미 정부 기관들과 운송 기업들이 공격을 당한 것으로 알려져 있다. 샤퍼는 2014년부터 활동해 온 것으로 알려진 APT 단체로, 주로 중동 국가의 사회 기반 시설을 공격해왔다. 가장 마지막에 발견된 건 2019년으로, 2018년부터 쿠웨이트와 사우디아라비아를 공격하고 있었다.

[이미지 = utoimage]


보안 업체 비트디펜더(Bitdefender)가 최근 발견한 캠페인도 중동 지역의 단체들을 대상으로 2018년부터 진행되어 온 것이라고 한다. 또한 과거 샤퍼가 보여준 것과 마찬가지로 ‘리빙 오프 더 랜드(living off the land)’ 기법을 활용한 것으로 분석됐다. 즉 공격 도구를 자체적으로 만들어 사용한 것이 아니라 피해자의 시스템에 있는 도구들이나 흔히 구할 수 있는 컴퓨터 도구들을 악용하는 방식으로 목적하는 바를 달성한 것이다.

비트디펜더의 글로벌 사이버 보안 분석가인 리비우 아르센(Liviu Arsene)은 아직까지 얼마나 많은 조직들이 공격에 당했는지 정확히 파악하기는 힘들지만, 적은 수는 아니라고 보고서를 통해 발표했다.

현재까지 알려진 내용에 따르면 샤퍼 공격자들은 셸코드로 조작한 피싱 문서를 통해 제일 먼저 공격을 시도한 것으로 보인다고 한다. 충분한 정찰 활동을 통해 정보를 모으고 스피어피싱 공격을 감행한 것으로 의심되는 상황이다. 또한 특정 계정들 몇 개에서 수상한 행동이 탐지된 것으로 보아 공격자들이 침투 후 계정을 만들고, 이를 통해 네트워크 내에서 여러 가지 활동을 벌인 것으로 의심된다고 한다.

기업 내에 발을 들이는 데 성공할 경우 공격자들은 imjpuexa.exe라는 백도어를 설치한다. 또한 네트워크 스캐닝 및 크리덴셜 수집 기능을 가지고 있는 도구들도 설치된다. 이를 통해 네트워크 내 횡적 움직임을 위한 정찰을 할 수 있게 된다. 네트워크 스캔, 크리덴셜 수집, 계정 발견, 코드 주입을 모두 할 수 있다고 알려진 다목적 공격 도구인 크랙맵이그젝(CrackMapExec)이 사용되는 경우도 빈번하다고 한다.

그 외에 피링크(PLINK)라는 도구도 공격자들이 약간의 ‘튜닝’을 하여 활용하고 있었다. 이 도구의 실행파일 혹은 프로세스 이름은 wehscv.exe이며, 특정 기능이나 운영을 자동화로 처리할 때 사용된다. 샤퍼는 본연의 기능을 그대로 살리되, 윈도우 서비스의 일종으로 실행되도록 하는 기능과 서비스 제거(uninstall) 기능을 추가했다. 비트디펜더 측은 공격자들이 피링크를 가지고 C&C와 통신하거나 내내부 기계들에 접근하는 데 사용했을 거라고 추측하지만 명확한 증거는 없는 상태다.

소셜 엔지니어링을 통해 최초 침투에 성공했을 가능성도 높게 점쳐지고 있다. 그렇게 되었을 경우 샤퍼는 원격 접근 도구(RAT)를 하나 로딩한 것으로 분석됐다. 이 때 RAT는 두 번 실행됐는데, 각각 drivers.exe와 drivers_x64.exe라는 이름이 사용됐다. 둘 사이에 시간차는 3분이었다. 피해자를 속이기 위한 수단으로 보인다고 비트디펜더는 분석했다. 이 RAT는 파이선으로 작성됐으며, 독립 실행파일이다.

중요한 건 샤퍼가 대부분의 경우 ‘리빙 오프 더 랜드’ 전략을 활용했다는 것이다. ‘리빙 오프 더 랜드’란 자급자족한다는 뜻으로, 피해자의 시스템에 있는 자원을 악의적 목적으로 사용하는 것을 말한다. 샤퍼는 주로 마이크로소프트에 있는 정상적인 서비스 관리 도구인 NSSM을 꽤나 많이 활용하는 모습을 보였다.

NSSM은 배경과 전경에 실행되는 서비스와 프로세스들을 관리하는 일종의 유틸리티 도구다. 비트디펜더의 연구원들은 “공격자들이 NSSM을 통해 자신들이 설치한 RAT가 제대로 돌아가도록 했다”고 보고 있다. 즉 공격 지속성 확보를 위한 도구로서 NSSM이라는 정상 도구를 사용했다는 것이다.

이런 ‘리빙 오프 더 랜드’ 전략은 점점 더 많은 공격자들이 활용하기 시작한 것으로, 탐지를 매우 어렵게 만든다는 장점이 있다. 행동에 제약이 있을 수 있지만 대부분의 시스템에 있는 관리 유틸리티를 악용함으로써 필요한 악성 행위는 거의 할 수 있는 것으로 알려져 있다.

현재 비트디펜더가 발견한 캠페인은 중단된 상태라고 한다. 해당 국가나 지역의 담당 기관이 이 캠페인에 대해 조치를 취한 것으로 보인다.

3줄 요약
1. 중동 국가들 노리는 APT 그룹 샤퍼, 탐지 피하기 위해 ‘자급자족 전략’ 사용.
2. 피해자의 시스템에 있는 유틸리티들을 공격에 활용하는 전략으로 탐지 어려움.
3. 현재 이 ‘자급자족 전략’을 구사하기 시작한 공격자들 점점 많아지고 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)