[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ÀÎÅÚ¸®Àü½º ±â¹Ý º¸¾È ¾÷üÀÎ ÆÄÀ̾î¾ÆÀÌ(FireEye)´Â Áö³ 2018³â 12¿ù APT39°¡ ±¤¹üÀ§ÇÑ °³ÀÎÁ¤º¸ À¯ÃâÀÇ ÁÖ¹üÀÎ À̶õ°è »çÀ̹ö øº¸Á¶Á÷ÀÓÀ» È®ÀÎÇßÀ¸¸ç, APT39ÀÇ È°µ¿À¸·ÎºÎÅÍ Á¶Á÷µéÀ» º¸È£Çϱâ À§ÇØ 2014³â 11¿ùºÎÅÍ Áö±Ý±îÁö ÀÌ Á¶Á÷°ú °ü·ÃµÈ È°µ¿À» ÃßÀûÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.
[À̹ÌÁö=iclickart[]
APT39´Â ±¤¹üÀ§ÇÑ °³ÀÎÁ¤º¸ µµ³¿¡ ÁßÁ¡À» µÎ°í ÀÖ¾î, ¿µÇâ °øÀÛ(Influence Operations), ¿ÍÇؼº °ø°Ý(Disruptive Attack) ¹× ±âŸ À§Çù°ú ¿¬°üµÇ¾î ÆÄÀ̾î¾ÆÀÌ°¡ ÃßÀûÇØ¿Â ¿©Å¸ À̶õ°è Á¶Á÷µé°ú ±¸º°µÈ´Ù. APT39´Â À̶õÀÇ ±¹°¡Àû ¿ì¼±¼øÀ§¿Í °ü·ÃµÈ ¸ð´ÏÅ͸µ, ÃßÀû, ¶Ç´Â °¨½Ã ÀÛÀü¿¡ µµ¿òÀ» Áְųª ¹Ì·¡ÀÇ °ø°ÝÈ°µ¿À» ¿ëÀÌÇÏ°Ô Çϱâ À§ÇÑ Ãß°¡ÀûÀÎ ¾×¼¼½º ¹× ¿ä¼Ò(Vector)ÀÇ °³¹ß °¡´É¼ºÀ» µµ¸ðÇϱâ À§ÇØ °³ÀÎÁ¤º¸¿¡ ÃÊÁ¡À» µÎ´Â °ÍÀ¸·Î º¸ÀδÙ.
APT39¶õ, À§¿¡¼ ¾ð±ÞµÈ ƯÁ¤ °ø°ÝÁÖü°¡ »ç¿ëÇÑ ¿©·¯ È°µ¿°ú ¹æ¹ýµéÀ» ÃÑ°ýÇϱâ À§ÇØ ¸¸µç À̸§À¸·Î, ÀÌ Á¶Á÷ÀÇ È°µ¿Àº ´ëÁß¿¡°Ô ¡®»þÆÛ(Chafer)¡¯¶ó°í ¾Ë·ÁÁø ´ÜüÀÇ È°µ¿°ú ´ëü·Î ¿¬°üÀÌ ÀÖ´Ù. ±×·¯³ª °¢ ´Üü È°µ¿¿¡ ´ëÇÑ ÃßÀû ÇöȲÀÇ ÆíÂ÷ ¶§¹®¿¡ °ø°³ÀûÀ¸·Î ¾Ë·ÁÁø ³»¿ë¿¡¼ Â÷ÀÌÁ¡ÀÌ ³ªÅ¸³´Ù. APT39´Â ÁÖ·Î ½ÃÀ§µå(SEAWEED) ¹× ij½Ã¸Ó´Ï(CACHEMONEY) ¹éµµ¾î¿Í ¡®POWBAT¡¯ ¹éµµ¾îÀÇ Æ¯Á¤ º¯Á¾À» È°¿ëÇÑ´Ù. APT39ÀÇ Å¸±ê ¹üÀ§´Â Àü ¼¼°èÀ̳ª È°µ¿Àº Áßµ¿¿¡ ÁýÁߵǾî ÀÖ´Ù. APT39´Â Åë½ÅºÐ¾ß¿¡ ¿ì¼±¼øÀ§¸¦ µÎ¸ç À̸¦ Áö¿øÇÏ´Â IT ±â¾÷, ÷´Ü±â¼ú ¾÷°è¿Í ¿©Çà¾÷°èµµ Ç¥ÀûÀ¸·Î ÇÏ°í ÀÖ´Ù.
APT39ÀÇ °ø°Ý Àǵµ
APT39°¡ Åë½Å ¹× ¿©Çà¾÷°è¿¡ ÁßÁ¡À» µÎ°í ÀÖ´Ù´Â »ç½ÇÀ» Åä´ë·Î ÀÌ Á¶Á÷ÀÌ Æ¯Á¤ °³Àε鿡 ´ëÇÑ ¸ð´ÏÅ͸µ, ÃßÀû, °¨½Ã°¡ ¸ñÀûÀ̶ó°í ÃßÁ¤ÇÒ ¼ö ÀÖ´Ù. À̵éÀº ¶ÇÇÑ ¡â±¹°¡ ¿ì¼±¼øÀ§ °ü·Ã Àü·« ¿ä°Ç¿¡ »ç¿ëµÉ ¸¸ÇÑ »ó¾÷ ¡âÀÛÀü»óÀÇ ¸ñÀûÀ» À§ÇÑ µ¶Á¡ÀûÀÎ µ¥ÀÌÅÍ ¶Ç´Â °í°´ °³ÀÎÁ¤º¸ ¼öÁý ¡â¹Ì·¡ÀÇ °ø°ÝÀ» À§ÇÑ Ãß°¡ÀûÀÎ ¾×¼¼½º ¹× ¿ä¼Ò¸¦ °³¹ßÇÏ·Á´Â Àǵµ°¡ ÀÖ´Â °ÍÀ¸·Î º¸Àδٰí ÆÄÀ̾î¾ÆÀÌ ÃøÀº ¼³¸íÇß´Ù.
¶ÇÇÑ, APT39°¡ Á¤ºÎ ±â°üÀ» ´ë»óÀ¸·Î »ï°í ÀÖ´Ù´Â Á¡Àº ¹ÎÁ·±¹°¡(Nation State)ÀÇ ÀÇ»ç°áÁ¤À» À§ÇÑ ÁöÁ¤ÇÐÀûÀÎ µ¥ÀÌÅÍ ¼öÁýÀ» ÀÌÂ÷ÀûÀÎ ¸ñÇ¥·Î »ïÀ» °¡´É¼ºÀ» ¾Ï½ÃÇÑ´Ù. À̵éÀÌ ¸ñÇ¥·Î ÇÏ´Â µ¥ÀÌÅÍ´Â APT39ÀÇ ÇÙ½É ÀÓ¹«°¡ °ü½É ´ë»óÀÇ ÃßÀû ¶Ç´Â °¨½Ã, ¿©Çà ÀÏÁ¤ µîÀÇ °³ÀÎÁ¤º¸ ¼öÁý, Åë½Å¾÷ü·ÎºÎÅÍÀÇ °í°´ µ¥ÀÌÅÍ ¼öÁýÀ̶ó´Â È®½ÅÀ» µÞ¹ÞħÇÏ°í ÀÖ´Ù.
À̶õ ¿¬°ü¼ºÀ» ³ªÅ¸³»´Â ÁöÇ¥
ÆÄÀ̾î¾ÆÀÌ´Â APT39ÀÇ °øÀÛµéÀÌ À̶õÀÇ ±¹ÀÍÀ» Áö¿øÇϱâ À§ÇØ ¼öÇàµÇ°í ÀÖ´Ù°í ¾î´À Á¤µµ È®½ÅÇÏ°í ÀÖÀ¸¸ç, ÀÌ´Â Áßµ¿¿¡ ÁýÁßµÈ Áö¿ªÆíÁß, ±×¸®°í °ø°³ÀûÀ¸·Î ¡®¿ÀÀϸ®±×(OilRig)¡¯¶ó°í º¸µµµÈ ¼¼·Â°ú ´ë·«ÀûÀ¸·Î °øÁ¶¸¦ ÀÌ·ç´Â APT34°ú À¯»çÇÑ ÀÎÇÁ¶ó, È°µ¿ ½Ã±â, ±âŸ À¯»çÁ¡µéÀ» ±Ù°Å·Î ÇÑ´Ù. APT39¿Í APT34´Â ¾Ç¼ºÄÚµå ¹èÆ÷ ¹æ½Ä, POWBAT ¹éµµ¾î È°¿ë, ÀÎÇÁ¶ó ¸í¸í¹ý, Ÿ±ê Áߺ¹ µî ÀϺΠÀ¯»çÁ¡À» º¸ÀÌÁö¸¸ ÆÄÀ̾î¾ÆÀÌ´Â APT39ÀÌ APT34¿Í ´Ù¸¥ POWBAT º¯Á¾À» ÀÌ¿ëÇÑ´Ù´Â Á¡¿¡¼ µÑÀ» º°°³ÀÇ Á¶Á÷À¸·Î ÆľÇÇÏ°í ÀÖ´Ù. ÀÌ µÎ Á¶Á÷ÀÌ Çù·Â°ü°è¿¡ Àְųª ¾î´À ´Ü°è¿¡¼ ÀÚ¿øÀ» °øÀ¯ÇÒ °¡´É¼ºÀº ÀÖ´Ù.
°ø°Ý ¼ö¸íÁÖ±â(Attack Lifecycle)
APT39´Â °ø°Ý ¼ö¸íÁÖ±âÀÇ ¸ðµç ´Ü°è¿¡¼ ´Ù¾çÇÑ ¸ÂÃãÇü ¹× °ø°³ÀûÀ¸·Î ±¸ÀÔ °¡´ÉÇÑ ¾Ç¼ºÄÚµå¿Í ÅøÀ» È°¿ëÇÑ´Ù.
¡âÃʱâ ħÇØ(Initial Compromise) : Ãʱâ ħÇØ¿Í °ü·ÃÇØ ÆÄÀ̾î¾ÆÀÌ´Â ¾Ç¼ºÄÚµå ¶Ç´Â POWBAT °¨¿°À» ÀÏÀ¸Å°´Â ÇÏÀÌÆÛ¸µÅ© µîÀÌ Ã·ºÎµÈ ½ºÇǾîÇǽÌ(Spear Phishing) À̸ÞÀÏÀ» ÅëÇÑ APT39ÀÇ °ø°ÝÀ» ¸ñ°ÝÇß´Ù. APT39´Â ÇÕ¹ýÀûÀÎ À¥ ¼ºñ½º·Î °¡ÀåÇÑ µµ¸ÞÀεé°ú ÀǵµµÈ Ÿ±ê¿¡ °ü·ÃµÈ ´ÜüµéÀ» ÀÚÁÖ ÀÌ¿ëÇÑ´Ù. ¶ÇÇÑ, ÀÌ Á¶Á÷Àº ÈçÈ÷ Ÿ±ê ±â°üµéÀÇ Ãë¾àÇÑ À¥ ¼¹ö¸¦ ã¾Æ³» ANTAK°ú ASPXSPY °°Àº À¥¼Ð(Web Shell)À» ¼³Ä¡ÇÏ°í, ÈÉÄ£ ÇÕ¹ý °èÁ¤(Legitimate Credentials)À» ÀÌ¿ëÇØ ¿ÜºÎ »ç¿ëÀÚµµ È°¿ë °¡´ÉÇÑ ¾Æ¿ô·è À¥ ¾×¼¼½º(Outlook Web Access : OWA) ¸®¼Ò½º¸¦ ÇØÅ·ÇÏ°í ÀÖ´Ù.
¡â°ÅÁ¡ ±¸Ãࡤ±ÇÇÑ »ó½Â¡¤³»ºÎ Á¤Âû : Ãʱâ ħÇØ ÀÌÈÄ APT39Àº ½ÃÀ§µå, ij½Ã¸Ó´Ï ¶Ç´Â Ưº°ÇÑ POWBAT º¯Á¾ µîÀÇ ¸ÂÃãÇü ¹éµµ¾î¸¦ È°¿ëÇØ Å¸°Ù ȯ°æ¿¡ °ÅÁ¡À» ±¸ÃàÇÑ´Ù. ¡®±ÇÇÑ »ó½Â(Privilege Escalation)¡¯ ´Ü°è¿¡¼´Â À©µµ¿ì Å©¸®µ§¼È ¿¡µðÅÍ(Windows Credential Editor)³ª ProcDump °°Àº ÇÕ¹ýÀûÀÎ Åø ÀÌ¿Ü¿¡µµ ¹Ì¹ÌÄ«Ã÷(Mimikatz)¿Í Ncrack µî ¹«·á·Î °ø°³µÇ¾î ÀÖ´Â ÅøµéÀÌ È°¿ëµÇ°í ÀÖ´Ù. ¡®³»ºÎ Á¤Âû(Internal Reconnaissance)¡¯¿¡´Â ¸ÂÃãÇü ½ºÅ©¸³Æ®¿Í Æ÷Æ® ½ºÄ³³Ê(Port Scanner)ÀÎ ºí·çÅäÄ¡(BLUETORCH)¸¦ ºñ·ÔÇÑ °ø°³Çü, ¸ÂÃãÇü ÅøµéÀÌ ÀÌ¿ëµÈ´Ù.
¡âÃø¸éÀ̵¿, »óÅ À¯Áö ¹× ÀÓ¹« ¿Ï¼ö : APT39´Â ¿ø°Ý µ¥½ºÅ©Åé ÇÁ·ÎÅäÄÝ(Remote Desktop Protocol : RDP), ½ÃÅ¥¾î ¼Ð(Secure Shell : SSH), PsExec, RemCom, xCmdSvc µî ¼ö¸¹Àº ÅøÀ» ÅëÇØ Ãø¸éÀ̵¿(Lateral Movement)À» ÃËÁø½ÃŲ´Ù. ·¹µåÆ®¸³(REDTRIP), ÇÎÅ©Æ®¸³(PINKTRIP), ºí·çÆ®¸³(BLUETRIP) °°Àº ¸ÂÃãÇü Åøµéµµ °¨¿°µÈ È£½ºÆ®µé »çÀÌ¿¡¼ SOCKS5 ÇÁ·Ï½Ã¸¦ »ý¼º½ÃÅ°±â À§ÇØ ÀÌ¿ëµÈ´Ù. APT39´Â RDP¸¦ Ãø¸éÀ̵¿ »Ó¸¸ ¾Æ´Ï¶ó Ÿ±ê ȯ°æ¿¡¼ È°µ¿ À¯Áö¸¦ À§ÇÑ ÇÁ·ÎÅäÄݷεµ È°¿ëÇÑ´Ù. ÀÓ¹« ¿Ï¼ö¸¦ À§ÇØ APT39´Â º¸Åë ÈÉÄ£ µ¥ÀÌÅ͸¦ WinRAR ¶Ç´Â 7-Zip µîÀÇ ¾ÐÃà Åø·Î ¾ÐÃà ¹× º¸°üÇÑ´Ù.
APT39°¡ ³×Æ®¿öÅ© º¸¾È¾÷üµéÀÇ Å½Áö¸¦ ¿ì¿ÜÇϱâ À§ÇØ ¿î¿µ º¸¾È(Operational Security)À» ÀÌ¿ëÇÏ°í Àִٴ ¡ÈÄ°¡ ÀϺΠ³ªÅ¸³ª°í ÀÖ´Ù. ¿¹¸¦ µé¸é ¹ÙÀÌ·¯½º ŽÁö ±â´ÉÀ» ¸·±â À§ÇØ ¾÷µ¥ÀÌÆ®µÈ ¹Ì¹ÌÄ«Ã÷ÀÇ ¼öÁ¤ ¹öÀüÀ» ÀÌ¿ëÇÑ »ç·Ê, Ãʱ⠾׼¼½º ÈÄ Å½Áö¸¦ ÇÇÇϱâ À§ÇØ APT39°¡ ħÇØµÈ Å¸±êÀÇ È¯°æ ¿ÜºÎ¿¡¼ °èÁ¤ ÃßÃâ(Credential Harvesting)À» ÇÑ »ç·Ê°¡ ¹ß°ßµÆ´Ù.
ÆÄÀ̾î¾ÆÀÌ´Â APT39ÀÇ Ç¥ÀûÀÌ Åë½Å ¹× ¿©Çà¾÷°è¿¡ ÆíÁßµÈ °ÍÀÌ ¹Ì·¡ÀÇ °ø°ÝÀ» ¿øÈ°È÷ Çϱâ À§ÇÑ °¨½Ã ¸ñÀûÀ¸·Î °ü½É Ÿ±ê¿¡ ´ëÇÑ °³ÀÎÁ¤º¸¿Í °í°´ µ¥ÀÌÅÍ ¼öÁýÇÏ·Á´Â Àǵµ¸¦ ¹Ý¿µÇÑ´Ù°í º¸°í ÀÖ´Ù. Åë½Å¾÷üµéÀº ´ë·®ÀÇ °³ÀÎ ¹× °í°´ Á¤º¸¸¦ º¸°üÇÏ°í, Åë½Å¿¡ ÀÌ¿ëµÇ´Â ÁÖ¿ä ÀÎÇÁ¶ó Á¢±ÙÀÌ ¿ëÀÌÇϸç, ´Ù¼öÀÇ ¾÷°è¿¡¼ Æø³ÐÀº ÀáÀçÀûÀΠŸ±ê¿¡ ´ëÇÑ Á¢±ÙÀÌ °¡´ÉÇϱ⠶§¹®¿¡ ÁÖ¸ñ¹Þ´Â Ÿ±êÀÌ µÈ´Ù. APT39ÀÇ Å¸±ê ¼±Á¤Àº ¾Ë·ÁÁø Ç¥Àû ¾÷°èµé¿¡ ´ëÇÑ À§ÇùÀ» ÀǹÌÇÒ »Ó¸¸ ¾Æ´Ï¶ó, ÇØ´ç Á¶Á÷ÀÇ ¸ðµç °í°´µé·Î±îÁö È®´ëµÇ¸ç ¿©±â¿¡´Â Àü ¼¼°è¿¡ °ÉÄ£ ¼ö¸¹Àº ¾÷°è¿Í °³ÀÎÀÌ Æ÷ÇԵȴÙ.
APT39ÀÇ È°µ¿Àº À̶õÀÇ ´ë¿Ü °øÀÛÀÇ ÀáÀçÀûÀÎ ¹üÀ§¸¦ ½Ã»çÇϸç, À̶õÀÌ ±¹°¡¾Èº¸ÀÇ À§ÇùÀ¸·Î ÀνĵǴ ´ë»ó¿¡ ´ëÇÑ ¿øÈ°ÇÑ ÇÙ½É Á¤º¸ ¼öÁý°ú Áö¿ª ¹× ¼¼°è °æÀïÀÚ¿¡ ´ëÇÑ ¿ìÀ§¸¦ ¾ò±â À§ÇÑ Àúºñ¿ëÀÇ È¿°úÀû ¼ö´ÜÀ¸·Î½á »çÀ̹ö °øÀÛÀ» ¾î¶»°Ô È°¿ëÇÏ´ÂÁö º¸¿©Áشٰí ÆÄÀ̾î¾ÆÀÌ ÃøÀº ¼³¸íÇß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>