Home > 전체기사
이란의 APT 그룹 리프마이너, 중동 조직 800여개 노리고 공격
  |  입력 : 2018-07-26 17:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이란의 사이버전 관련 활동, 최근 들어 왕성해져...민간 기업도 주의해야
리프마이너, 실력 자체는 평균 정도지만, 공격 의지는 대단해 보여


[보안뉴스 문가용 기자] 이란에서 활동하는 것으로 보이는 사이버 공격 단체인 리프마이너(Leafmier)가 중동 지역의 여러 조직들을 상대로 광범위한 스파잉 공격을 실시하고 있다는 사실이 발표됐다. 리프마이너는 널리 사용되고 있는 툴과 자체 제작한 멀웨어를 모두 사용한다.

[이미지 = iclickart]


리프마이너의 해킹 기술력만 놓고 보면 후하게 점수를 줘도 평균 정도인데, 목표점은 훨씬 높은 것 같다고 보안 업체 시만텍(Symantec)은 묘사하고 있다. 시만텍은 리프마이너를 얼마간 추적해왔다.

시만텍의 분석에 의하면 리프마이너는 최근 809개의 조직들을 대상으로 취약점 스캐닝을 실시했다고 한다. 사우디아라비아, UAE, 이집트, 쿠웨이트, 이스라엘 등 중동의 여러 국가에서 활동하는 다양한 조직들이 공격 대상이었다.

리프마이너가 집중적으로 노리는 것은 금융 단체와 정부 기관, 석유화학 산업인 것으로 보인다. 하지만 선박 및 운송업, 식음료 서비스, 유틸리티, 건설업에도 공격의 손길이 일부 미쳤다고 한다. 이메일 데이터, 파일, 데이터베이스 서버 등을 노린다.

“리프마이너는 최소 800개 조직을 한 번에 노리고 공격했어요. 대단히 야심차다고 볼 수 있습니다. 동시다발적으로 이렇게까지 많은 조직을 공격한 APT 단체는 그리 흔치 않습니다. 왜냐하면 APT 단체는 대부분 적은 수의 표적들만을 노리기 때문입니다.”

그룹으로서 리프마이너의 출현은 일반 기업들이라도 네트워크 인프라, 특히 인터넷으로 접촉이 가능한 부분에 대한 보안을 강화해야 한다는 걸 뜻한다. “이미 널리 알려진 취약점들과 공격 툴들에 대해서는 실험을 통해서 대비를 해야 합니다. 알려진 취약점이 네트워크 내에 없는지를 점검하고 보강하는 것이 이러한 APT 그룹의 공격을 막는 첫 걸음입니다.”

또한 리프마이너는 최근 심해지고 있는 이란의 사이버 공격 활동에 대한 증거이기도 하다. 올해 초 보안 업체 파이어아이(FireEye)는 이란의 사이버전 행위가 급격히 증가했다는 내용의 보고서를 발표한 바 있다. 당시 파이어아이는 이란을 두고 “제2의 중국”이라고까지 표현했다.

이번 주 또 다른 보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 경우, 예전부터 이란의 해킹 그룹이라고 알려진 오일리그 그룹(OilRig Group)에 대한 보고서를 발표하기도 했다. 올해 5월과 6월 사이, 오일리그 그룹의 공격이 급증했다는 내용이었다. 특히 기술 산업과 정부 기관을 노리는 공격이 늘어났다고 밝혔다.

시만텍에 따르면 리프마이너의 공격 전략은 ‘자급자족형’이라고 묘사할 수 있다. 이는 최근 많은 해킹 단체들 사이에서 나타나는 특징이기도 하다. “자급자족형이란, APT 그룹이 자체적으로 개발한 툴들과 암시장 등을 통해 판매되거나 대중들에게 공개된 툴들을 함께 사용한다는 것입니다.”

예를 들어 리프마이너는 널리 알려진 포스트 익스플로잇 툴인 미미캐츠(Mimikatz)를 사용해 크리덴셜을 수집한다. 그리고 이 미미캐츠를 네트워크에 심기 위해 시스템을 침해할 때는 프로세스 도플갱잉(Process Doppelganging)이라는 기법을 쓴다. 프로세스 도플갱잉은 보안 업체 엔실로(enSilo)가 선보인 이후 몇몇 공격 그룹이 사용하고 있는 전략이다.

뿐만 아니라 리프마이너는 NSA의 퍼즈번치(Fuzzbunch)라는 툴키트를 사용하는 모습도 보였다. 이는 작년 셰도우 브로커스(Shadow Brokers)라는 해킹 그룹이 유출시킨 툴이다. 리프마이너는 퍼즈번치를 이용해 자신들이 자체적으로 만든 멀웨어를 배포한다.

리프마이너가 자체적으로 생산한 멀웨어 중 하나는 소르구(Sorgu)라는 백도어다. 침해된 시스템에 원격 접근할 수 있도록 해주는 것이다. 또 이메캅(Imecab)이라는 것도 있다. 침해된 시스템에 오랫동안 머무를 수 있게 해주는 ‘퍼시스턴트(persistent)’ 툴이다.

리프마이너는 크게 세 가지 기법을 사용해 표적이 된 네트워크에 접근한다.
1) 침해된 웹 서버를 활용한 워터링 홀
2) 네트워크 내 취약점 스캔
3) 네트워크 로그인을 겨냥한 사전 공격

“그러니 조직들은 최근에 떠오르고 있는 취약점이나 공격 기법에만 신경 쓸 것이 아니라 오래된 것들도 역시 계속해서 염두에 두고 있어야 합니다. 또한 해외 정부와 관련이 있는, 일병 사이버전 부대들이 민간 기업들을 노릴 수 있다는 것도 기억해야 합니다. 이제 사이버전이 국가들에게만 맡겨진 것이 아닙니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향