세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
여러 국가 정탐하는 머디워터 캠페인, 작년에 이어 활동 재개
  |  입력 : 2018-03-13 16:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아직 배후 세력 확실치 않지만 중국 의심돼
다른 정탐 세력 발견되면 “죽이겠다” 협박하기도

 
[보안뉴스 문가용 기자] 악명 높은 머디워터(MuddyWater) 캠페인이 다시 한 번 출현하기 시작했다. 지난 번의 그것과 유사한 점도 있고 다른 점도 있다. 이를 발견한 건 보안 업체 트렌드 마이크로(Trend Micro)다.

[이미지 = iclickart]


트렌드 마이크로의 연구원들은 최근 시작된 머디워터 캠페인이 지난 해 발견된 머디워터 캠페인과 관련성이 있다고 결론을 내리고 있다. 지난 해의 머디워터 캠페인은 또 다른 보안 업체 팔로알토 네트웍스(Palo Alto Networks)에서 밝혀낸 것이다.
 
먼저 과거와 현재의 머디워터 공격 모두 정부 기관에서 보낸 것과 같은 허위 문서를 대동하고 있다. 하지만 이 문서는 비주얼 베이직 및 파워셸 파일로, 표적이 된 시스템 내로 침투하는 데에 활용된다. 작년의 머디워터 공격은 미국, 사우디아라비아, 이스라엘, 터키, 파키스탄 등 세계 여러 나라들을 겨냥해 실시됐는데, 이번에도 비슷하다. 그 외에 난독화 기술과 감염 방법 등도 흡사하다.
 
사우디아라비아의 국가 사이버 보안 센터(NCSC) 역시 머디워터 캠페인에 대해 경고를 발령한 상태다. “C&C와의 통신 채널을 수립하기 위해 HTTP 터널링을 활용하는 악성 파워셸 코드가 돌아다니고 있습니다. 해당 HTTP 요청에는 감염된 시스템으로부터 추출된 데이터나 공격자로부터 오는 명령이 포함되어 있습니다.”
 
아직 머디워터의 배후에 누가 있는지는 밝혀지지 않고 있다. 하지만 트렌드 마이크로는 “중국의 해커들이 의심된다”고 말한다. 물론 100% 확신할 수 있는 건 아니지만 “문장을 구성하는 신택스와 문법의 상태로 보아 번역 프로그램을 활용한 흔적이 보인다”고 한다. 또한 “오류 메시지 일부에서 만다린 중국어가 표기되기도 한다.”
 
가장 많이 활용되는 공격 수법은 1) 허위 문서와 2) 워터링홀이다. 허위 문서의 경우 타지키스탄 내무부의 엠블럼까지 정교하게 부착되어 있어 진짜와 구분하기가 매우 어렵다. 트렌드 마이크로에 의하면 “이 문건을 열면 매크로가 실행되면서, 악성 페이로드가 실시된다”고 한다. 문서 내에 엠베드 된 페이로드도 있고, 원격에서 다운로드 되는 경우도 있다.
 
어떤 경우든 다운로드 되는 파일은 두 가지다. 하나는 난독화된 비주얼 베이직 스크립트이고 다른 하나는 역시 난독화 처리 된 파워셸 스크립트다. 비주얼 베이직은 파워셸 스크립트를 활성화시키는 기능을 가지고 있다.
 
이 멀웨어가 설치되면 운영 체제 정보, 아키텍처, 네트워크 어댑터 환경설정, 사용자 이름, 스크린샷 등의 정보가 전송된다. 또한 이 멀웨어를 통해 공격자는 명령을 전달한다. 공격자들의 행위에는 트래픽 모니터링도 포함되는데, 여기에 어떤 분석 행위나 다른 공격자의 흔적이 탐지되면 “멈춰라! 당신을 죽이겠다!(Stop! I Kill You Researcher)”라는 메시지를 전달한다.
 
보안 전문가들은 이 공격을, 주체가 누군지는 확실하진 않지만, 정부 기관 및 민간 부문을 염탐하기 위한 사이버전 해커들의 소행이라고 보고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)