세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
사이버 정찰 그룹 패치워크, 공격 범위 넓혀 활동
  |  입력 : 2018-06-11 12:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
동남아시아 주로 노리던 그룹, 미국으로 공격 범위 확대
피싱 메일에 추적 장치 달아 자신들의 공격 성과 분석하기도


[보안뉴스 문가용 기자] 사이버 스파이 그룹인 패치워크(Patchwork)가 미국에서 활동하고 있는 씽크탱크들을 위장한 사이버 작전을 펼치고 있다고 보안 업체 볼렉시티(Volexity)가 공개했다.

[이미지 = iclickart]


패치워크는 인도 아대륙 부근에서 활동하고 있는 것으로 여겨지는 사이버 정찰 단체로, 2014년부터 활동했으며 주로 동남아 지역과 남중국해 부근의 조직들을 공격해왔다. 하지만 2년 전부터 공격 대상을 확대시켰고, 2017년 후반부터는 새로운 익스플로잇 기술들을 사용하기 시작했으며, 올해 초부터는 새로운 멀웨어들을 활용하는 모습도 보였다.

패치워크는 수사 단체 및 보안 업체에 따라 드로핑엘레펀트(Dropping Elephant)라고 불리기도 한다. 최근 들어 피싱 이메일 활동량이 급증했는데, 고유한 추적 링크들을 활용하기 시작했다. 이는 누가 피싱 이메일을 열었는지 확인해보기 위한 장치라고 볼렉시티는 설명한다.

“최근 이들이 벌인 세 가지 스피어피싱 캠페인을 분석해보니 미국 내에서 유명한 씽크탱크들인 것처럼 위장한 피싱 테마와 도메인을 사용하고 있더군요.” 여기서 말하는 씽크탱크란 외교 협회(Council on Foreign Relations), 국제전략연구소(Center for Strategic and International Studies), 메르카토르 중국학 연구소(Mercator Institute for China Studies) 등을 말한다. “이런 기관들이 보낸 것과 같은 RTF 문서를 메일에 첨부합니다.”

이 세 가지 캠페인에는 공통점이 있었다. 바로 수신자를 추적하는 기능과 첨부된 악성 RTF 문서, 최종 페이로드다. 하지만 그 외 자잘한 요소들은 조금씩 달랐다. “첫 번째 캠페인의 경우 공격자들은 외교 협회의 연구 기관과 비슷해 보이는 도메인을 사용했습니다. 이곳에서 보낸 듯한 스피어피싱 이메일에는 .doc 확장자를 가진 파일이 첨부되어 있었고요. 그러나 워드 문서가 아니라 RTF 문서였죠. CVE-2017-8750 취약점을 익스플로잇 하는 기능을 가지고 있습니다.”

패치워크가 사용하고 있는 익스플로잇 코드는 깃허브에 무료로 공개된 콰사랫(QuasarRAT)인 것으로 보인다. “콰사랫은 C#으로 작성된 원격 접근 도구로, AES 네트워크 암호화 알고리즘에 기반을 둔 통신, 파일 관리 시스템, 다운로드, 업로드, 파일 실행, 키로깅, 원격 데스크톱 접근, 원격 웹캡 뷰잉, 리버스 프록시, 브라우저 및 FTP 클라이언트 비밀번호 복구 기능을 가지고 있습니다.”

또한 콰사랫은 예약 임무(scheduled task)를 만들어 콰사랫 바이너리가 언제고 재시작될 수 있도록 한다. 즉 오랜 시간 공격을 할 수 있게끔 조치를 취한 것이다. 한편 콰사랫 바이너리는 microsoft_network.exe로 디스크에 저장된다. 예약 임무 이름은 Microsoft_Security_Task로 매일 오전 12:00에 시작되고 60일 동안 5분 간격으로 실시된다.

멀웨어가 실행되면 제일 먼저 시스템의 물리적 위치를 파악한다. 그리고 암호화 된 메시지를 C&C 도메인으로 전송한다. “패치워크가 미국의 씽크탱크들을 공격한다는 건, 이들의 공격 범위가 넓어지고 공격 대상이 다양해졌다는 뜻입니다. 게다가 패치워크는 표적형 공격을 하는 단체로 알려져 있습니다. 즉 무작위로 아무나 공격해서 피해자가 광범위해진 것이 아니라, 이들의 공격 의도가 넓어졌다는 뜻이 됩니다. 여기에 추적 장치를 더해 자신들의 공격 성과를 분석한다는 것은 내부적인 치밀함이 더해졌다고 볼 수 있는 부분입니다.” 볼렉시티의 설명이다.

아직 패치워크의 배후에 있는 국가나 정부 단체는 결론나지 않은 상태다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)