한수원 공격 해킹그룹 ‘김수키’의 새로운 사이버공격 발발

김수키(Kimsuky) 조직, ‘스텔스 파워(Operation Stealth Power)’ 침묵 작전 수행 포착

이스트시큐리티, 외교안보 관련 자료 위장한 스피어 피싱 이메일 공격 공개

[보안뉴스 원병철 기자] 2014년 한수원 해킹사건의 공격조직으로 알려진 김수키(Kimsuky)의 새로운 사이버공격이 발견돼 이목을 집중시키고 있다. 보안 전문 기업 이스트시큐리티(대표 정상원)의 시큐리티대응센터(이하 ESRC)는 외교 안보 관련 자료를 위장한 스피어 피싱 이메일 공격이 포착되었다고 3일 밝혔다.

ESRC에 따르면 이번 스피어 피싱 이메일 공격은 지능형지속위협(APT) 공격으로, 주로 외교, 안보, 통일 분야 및 대북, 탈북 단체 종사자를 대상으로 유포되고 있다. 또한 이번 공격은 ESRC가 지난 3월 21일 보고한 바 있는 워터링 홀(Watering Hole) 공격 ‘오퍼레이션 로우 킥(Operation Low Kick)’ 공격 조직과 동일한 조직의 소행으로 분석돼, 특정 조직의 사이버 위협 공격이 지속적으로 행해지고 있는 점도 확인되었다.

ESRC는 이번 공격을 작전명 ‘오퍼레이션 스텔스 파워(Operation Stealth Power)’로 명명하고, 분석 결과를 발표했다. 포착된 오퍼레이션 스텔스 파워(Operation Stealth Power) 공격은 ‘최근 한반도 관련 주요국 동향.hwp’, ‘3.17 미국의 편타곤 비밀 국가안보회의.hwp’ 등 외교, 안보 분야 주요 자료로 위장한 파일이 첨부된 악성 이메일을 관련 분야 종사자만을 표적화해 발송하고 있다.

공격 조직은 이번 공격에서 ‘DLL’, ‘EXE’ 확장자의 악성 파일을 2차 다운로드해 PC를 감염시킨 후 악성 행위를 하던 기존 방식이 아닌, 한단계 더 진화된 수법을 적용했다. 만약 수신자가 공격에 사용된 첨부 파일을 열람하면 별도의 악성 파일을 다운로드하지 않고 명령제어(C2) 서버에 올려진 파워쉘 코드(PowerShell Code)를 기반으로 키보드 입력값을 탈취하는 키로깅 행위를 수행하며, 이를 통해 각종 정보를 탈취하게 된다.

​ 

안드로이드용 금융 관련 앱 30개 해킹해 분석했더니
이름은 밝히지 않았지만...30개 거의 전부가 취약점 다수 보유해

암호화도 약하고, 백엔드 주소도 노출시켜...총 11개 유형의 취약점 나와

[보안뉴스 문가용 기자] 보안 업체 악산 테크놀로지스(Arxan Technologies)가 30개의 모바일 금융 애플리케이션들을 리버스 엔지니어링 했고, 거의 모든 앱에서 민감한 정보를 발견할 수 있었다고 발표했다. 이 정보들을 통해 마음만 먹으면 애플리케이션 프로그래밍 인터페이스(API) 키들을 복구시켜 백엔드 서버를 공격함으로써 사용자 데이터를 침해할 수도 있었다고 그는 설명했다.

점검된 앱들은 전부 안드로이드용이었으며, 도소매, 은행, 의료, 자동차 보험 등 8개 분야에서 선택됐다고 한다. “앱을 운영하고 있는 회사 중에는 포춘 100대 기업에 뽑히는 곳들도 있었습니다.” 악산은 이러한 내용을 ‘뻔히 보인다 : 금융 모바일 앱들에 만연한 취약점들(In Plain Sight: The Vulnerability Epidemic in Financial Mobile Apps)’이라는 보고서에 담아냈다.

보고서를 작성한 수석 보안 분석가인 알리사 나이트(Alissa Knight)는 “우리 내부 인원들도 결과에 무척 놀랐다”고 말했다. “어떤 앱들의 경우 비밀 키, API 키, 비밀 인증서가 실제 코드 내에 저장되어 있기도 했습니다. 아니면 앱의 하위 디렉토리에 저장되어 있기도 했고요. 앱이 통신을 위해 사용한 URL 주소들이 그대로 노출된 경우도 있었습니다. 공격자들에게 백엔드 서버를 알려주는 꼴이죠.”

보고서에 의하면 “실험된 앱들의 97%가 바이너리 코드 보호 장치를 가지고 있지 않았다”고 한다. “그래서 리버스 엔지니어링이 가능했습니다. 앱의 디컴파일링도 할 수 있었고요. 그렇다는 건 소스코드를 분석하고 조작할 수 있다는 뜻이 됩니다.” 하지만 악산은 이번에 분석된 앱의 이름을 하나도 밝히지 않고 있다.

​ 

참조사이트  

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

​

Trojan/Win32.Fareit.C3134683
최초 발견일: 2019-04-03
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.Fareit.C3134683는 감염된 시스템 내의 모든 파일을 암호화하는 Hermes2.1 랜섬웨어이다.

Malware/Win32.Generic.C3134521
최초 발견일: 2019-04-03
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Malware/Win32.Generic.C3134521는 레지스트리 변경 및 방화벽 허용을 통해 PC의 보안을 취약하게하는 악성코드이다.

Trojan/Win32.Inject.R261567
최초 발견일: 2019-04-03
종    류: 트로이목마
형    태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설   명: Trojan/Win32.Inject.R261567는 자가복제파일을 생성하고 특정 프로세스에 악성코드를 주입하여 악의적인 행위를 수행하는 트로이목마이다.

  ​

[보안TIP]

19년 된 윈라 취약점, 사이버 공격자들의 사랑 뜨거워져

[보안뉴스 문가용 기자] 얼마 전 윈라(WinRAR)이라는 압축 프로그램에서 발견된 오래된 취약점이 각종 공격자들의 사랑을 받고 있다. 이는 CVE-2018-20250의 번호를 지정받은 경로 변경 취약점으로, 19년 동안 발견되지 않은 채 5억 명이 넘는 사용자들의 시스템에 설치되어 왔다. 지난 2월에야 발견됐고, 윈라 측은 업데이트를 발표했다.

보안 업체 파이어아이(FireEye)는 “이 취약점을 익스플로잇 할 경우 공격자들이 악성 페이로드를 임의의 폴더에 위치시킬 수 있게 된다”고 설명한다. “공격자들은 이 점을 활용해 ‘시작 프로그램’ 폴더에 멀웨어를 설치함으로써 지속적인 침투 발판 및 공격 수단을 마련합니다.”

이 취약점이 공개된 이후부터 꽤나 많은 공격 시도가 발생했다고 파이어아이는 설명한다. “업데이트가 나온 게 사실이지만, 이미 수많은 사용자들이 취약한 윈라를 설치한 상태이고, 보안에 관심이 없는 대부분은 업데이트 소식도 모르고 있을 가능성이 높습니다. 자동 업데이트 기능도 없죠. 즉 아직도 수억 명이 취약한 윈라를 사용하고 있을 가능성이 매우 높다는 겁니다.”

파이어아이가 발견한 첫 번째 공격의 경우, 공격자들은 CSWE라는 교육 관련 기관으로 위장했다. “공격자들은 CSWE인 것처럼 이메일을 발송합니다. ACE 파일로 만들어진 악성 파일이 첨부되어 있지요. 이 파일의 이름은 Scan_Letter_of_Approval.rar입니다. 압축을 해제하면 winSrvHost.vbs라는 파일이 사용자의 동의 없이 ‘시작 프로그램’ 폴더에 풀립니다. 그런 상태에서 사용자가 윈도우를 재부팅하면 스크립트가 자동으로 시작됩니다.”

그런 은밀한 작업이 진행되는 동안 가짜 파일들이 사용자가 지정한 폴더에 풀린다. “이 미끼 파일의 이름은 Letter of Approval.pdf입니다. CSWE 웹사이트에서 내용을 복사해서 만든 문서이죠. 이 파일 때문에 사용자는 뒤에서 일어나는 일들을 눈치 채지 못하게 됩니다.”

시작 프로그램 폴더에 저장된 스크립트는 wscript.exe라는 프로그램에 의해 실행된다. 그러면 C&C 서버와의 통신 채널이 마련되고, 백도어로서의 기능을 하기 시작한다. 스크립트는 피해자의 ID와 컴퓨터 이름 등의 정보를 C&C 서버로 전송하고, 공격자는 두 번째 페이로드인 넷와이어(Netwire)라는 원격 접근 트로이목마를 설치한다.

파이어아이가 발견한 두 번째 공격 캠페인의 경우 이스라엘의 군사 시설을 겨냥해 실시됐다. “공격자들은 스푸핑 된 이메일을 피해자에게 전송합니다. 물론 여기에도 ACE 파일이 첨부되어 있습니다. SysAid-Documentation.rar이라는 이름을 가지고 있고, 이스라엘의 헬프데스크 서비스인 시스에이드(SysAid)와 관련된 문서를 사용자가 지정한 폴더에 저장합니다. 그런데 압축이 해제되며 생성되는 파일 중에 LNK 파일이 하나 있습니다. 이 파일은 공격자의 C&C 서버에 호스팅 된 아이콘 하나와 연결되어 있습니다. NTLM 해시 값을 훔치는 기능을 발휘하죠.”

또 다른 공격 캠페인에서는 ‘시작 프로그램’ 폴더에 새피캐시(SappyCache)라는 이름의 페이로드가 복사된다. 이 페이로드의 파일 이름은 ekrnview.exe이며, 윈도우가 재부팅 될 때 발동된다. 파이어아이는 새피캐시를 처음 본다고 하며, “C&C 서버와의 통신 기능 및 두 번째 페이로드 다운로드 기능을 가지고 있다”고 설명한다.

네 번째 공격의 경우, 특이하게도 사용자들을 현혹할 미끼로 크리덴셜과 도난당한 신용카드 정보가 활용됐다. 그러나 뒤에서는 원격 접근 트로이 목마들과 비밀번호 탈취 프로그램이 설치된다고 한다. “대표적으로는 키로깅 기능을 가진 쿼사RAT(QuasarRAT)이 사용되고 있습니다. 여기에 비지(Busy)라는 암호화폐 탈취형 RAT도 발견됐고요.”

이 네 가지 공격의 공통점은 공격용 페이로드가 ‘시작 프로그램’ 폴더에 저장된다는 것이다. 그러나 이 사실 때문에 공격자나 공격 단체가 같다고 결론을 내릴 수는 없다고 파이어아이는 말한다. “시작 프로그램 폴더에 멀웨어를 설치했을 때의 장점이 너무나 분명하고, 공격자들도 잘 알고 있기 때문에, 일부만 아는 전략이라고 판단하기는 힘이 듭니다.”

윈라 취약점을 악용한 공격에 대응하기 위해서는 최신 윈라 버전을 다운로드 받아 설치하는 게 최선의 방법이다. “거기에 더해 시작 프로그램을 주기적으로 검사해 수상한 파일이 없는지 확인하는 것도 간편하고 쉬운 방어법입니다.”

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/