µÎ À̶õ °ø°Ý ´Üü, 2017³âºÎÅÍ Çù¾÷ÇÏ¿© Àü ¼¼°è ¿©·¯ ´Üüµé Á¤ÂûÇØ¿Í
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾Ç¸í ³ôÀº À̶õÀÇ ÇØÅ· ´ÜüÀÎ APT33°ú APT34°¡ Áö³ 3³â µ¿¾È Àü ¼¼°è ¼ö¸¹Àº Á¶Á÷µéÀ» ÇÕ·ÂÇÏ¿© °ø°ÝÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÀÌ µÎ ´Üü´Â ±â¾÷µé¿¡¼ »ç¿ëÇÏ´Â VPN Á¦Ç°ÀÇ Ãë¾àÁ¡µéÀ» ƯÈ÷ ÁýÁßÇÏ¿© °ø·«Çß´Ù°í º¸¾È ¾÷ü Ŭ¸®¾î½ºÄ«ÀÌ(ClearSky)°¡ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = iclickart]
APT33Àº ¸®ÆÄÀεå Å°Æ°(Refined Kitten), ¿¤ÇÉ(Elfin), ¸Å±×³¯·ý(Magnalllium), Ȧ¹Å(Holmium)À̶ó°íµµ ºÒ¸®¸ç, APT34´Â ¿ÀÀϸ®±×(OilRig), ±×¸°¹ö±×(Greenbug)¶ó°íµµ ºÒ¸°´Ù. µÑ ´Ù À̶õ Á¤ºÎÀÇ Áö¿øÀ» ¹Þ°í ÀÖ´Ù°í ¾Ë·ÁÁ® ÀÖ°í, Áßµ¿, ¹Ì±¹, À¯·´ ¾Æ½Ã¾ÆÀÇ ´Ù¾çÇÑ ´ÜüµéÀ» °ø°ÝÇØ¿Ô´Ù. ÇÏÁö¸¸ 2017³âºÎÅÍ´Â Çù¾÷À» ÇØ¿Â °ÍÀ¸·Î º¸ÀδÙ.
ÀÌ Çù¾÷ Ä·ÆäÀÎÀº º¸¾È ¾÷ü µå¶ó°í½º(Dragos)°¡ Æĸ®»çÀÌÆ®(Pariste), Ŭ¸®¾î½ºÄ«ÀÌ°¡ Æø½ºÅ°Æ°Ä·ÆäÀÎ(Fox Kitten Campaign)À̶ó´Â À̸§À» ºÙ¿© ÃßÀûÇØ¿À°í ÀÖ´Ù. ÃßÀû Áß¿¡ À̶õÀÇ ¶Ç ´Ù¸¥ ÇØÅ· ±×·ìÀÎ APT39 ȤÀº »þÆÛ(Chafer)°¡ ¿¬·çµÇ¾î ÀÖ´Ù´Â ÈçÀûÀÌ ¹ß°ßµÇ±âµµ ÇßÀ¸³ª, ÀÌ ºÎºÐÀº ¾ÆÁ÷ È®½ÇÇÏÁö ¾Ê´Ù.
Ŭ¸®¾î½ºÄ«ÀÌ¿¡ ÀÇÇϸé ÀÌ Ä·ÆäÀÎÀÇ °¡Àå ÁÖ¿äÇÑ ¸ñÀûÀº Ç¥Àûµé¿¡ ħÅõ ÈÄ Àå±âÀû °ø°ÝÀÇ ¹ßÆÇÀ» ¸¶·ÃÇÏ¿© Áß¿äÇÑ Á¤º¸¸¦ »©³»´Â °ÍÀ̶ó°í ÇÑ´Ù. ¿ÀǼҽº¿Í ÀڽŵéÀÌ Á÷Á¢ °³¹ßÇÑ µµ±¸¸¦ °í·ç »ç¿ëÇÏ°í ÀÖÀ¸¸ç, ÆÞ½º ½ÃÅ¥¾î(Pulse Secure), Æ÷Ƽ³Ý(Fortinet), ÆȷξËÅä ³×Æ®¿÷½º(Palo Alto Networks)ÀÇ VPN Á¦Ç°À» ÀͽºÇ÷ÎÀÕ ÇÑ´Ù°í ÇÑ´Ù.
À§ VPN Á¦Ç°¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡Àº ´ÙÀ½°ú °°´Ù.
1) CVE-2019-11510 : ÆÞ½º ½ÃÅ¥¾î Á¦Ç°¿¡¼ ¹ß°ßµÈ ÀÓÀÇ ÆÄÀÏ ¿¶÷ Ãë¾àÁ¡
2) CVE-2018-13379 : Æ÷Ƽ³Ý Á¦Ç°¿¡¼ ¹ß°ßµÈ ½Ã½ºÅÛ ÆÄÀÏ ´Ù¿î·Îµå Ãë¾àÁ¡
3) CVE-2019-1579 : ÆȷξËÅä ³×Æ®¿÷½º Á¦Ç°¿¡¼ ¹ß°ßµÈ ÀÓÀÇ ÄÚµå ½ÇÇà Ãë¾àÁ¡.
Ŭ¸®¾î½ºÄ«ÀÌ´Â º¸°í¼¸¦ ÅëÇØ ¡°°ø°ÝÀÚµéÀº ħÅõ Åë·Î¸¦ È®º¸ÇÑ µÚ Á¤±âÀûÀ¸·Î ¹Î°¨ÇÑ Á¤º¸¸¦ °Ë»ö, ½Äº°, ÃëÇÕÇÏ´Â È°µ¿À» ÁøÇàÇß°í, °¡Ä¡°¡ ³ôÀº Á¤º¸°¡ ¹ß°ßµÉ °æ¿ì °ø°ÝÀÚµéÀÇ ¼¹ö·Î ´Ù¿î·Îµå Çß´Ù¡±°í ¹àÇû´Ù. ¶ÇÇÑ ÀÌ Á¤º¸¸¦ °¡Áö°í 2Â÷ °ø°ÝÀ» °¨ÇàÇß´Ù°í ÇÑ´Ù.
°ø°ÝÀÚµéÀÌ ½º½º·Î °³¹ßÇÑ °ø°Ý µµ±¸´Â ´ÙÀ½°ú °°´Ù.
1) STSRüũ(STSRCheck) : µ¥ÀÌÅͺ£À̽º¿Í °ø°³µÈ Æ÷Æ®¸¦ ¸ÅÇÎÇØÁÖ´Â µµ±¸
2) Æ÷¿ì½´³Ý(POWSSHNET) : ÀÏÁ¾ÀÇ ¹éµµ¾î
3) VB½ºÅ©¸³Æ®(VBScript) : C&C ¼¹ö·ÎºÎÅÍ TXT ÆÄÀϵéÀ» ´Ù¿î·Îµå ¹Þ°í ÅëÇÕÇØ ½ÇÇàÆÄÀÏ·Î º¯È¯½ÃŲ´Ù.
4) port.exe : ¹Ì¸® Á¤ÀÇµÈ Æ÷Æ®¿Í IP ÁÖ¼Ò¸¦ ½ºÄµÇÑ´Ù.
°ø°ÝÀÚµéÀÌ Ä·ÆäÀο¡ È°¿ëÇÑ ¿ÀǼҼö µµ±¸µéÀº ´ÙÀ½°ú °°´Ù.
1) Àκ¸Å© ´õ ÇؽÃ(Invoke the Hash) : Æнº ´õ ÇؽÃ(Pass the Hash) ¸Þ¼Òµå¸¦ ½ÇÇàÇÏ´Â ÆÄ¿ö¼Ð ¸í·É
2) ÁÖ½ÃÆ÷Å×ÀÌÅä(JuicyPotato) : ·ÎÄÿ¡¼ ±ÇÇÑ »ó½Â °ø°ÝÀ» °¡´ÉÄÉ ÇØÁÖ´Â µµ±¸
±× ¿Ü¿¡µµ ÀÀ·Ï(Ngrok), FRP, ¼º£¿À(Serveo), ǪƼ ¾Ø ÇøµÅ©(Putty and Plink)¿Í °°Àº Á¤»ó À¯·á µµ±¸µéµµ °ø°Ý¿¡ È°¿ëÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
Ŭ¸®¾î½ºÄ«ÀÌ¿¡ ÀÇÇÏ¸é °ø°ÝÀÚµéÀº º¸Åë ´ÙÀ½°ú °°Àº ¼ø¼·Î °ø°ÝÀ» ÁøÇàÇß´Ù°í ÇÑ´Ù.
1) RDP¸¦ ÅëÇØ ÇÇÇØ ½Ã½ºÅÛ¿¡ ħÅõÇÑ´Ù.
2) ¾Ë¸ÂÀº ÆÄÀϵéÀ» ½Äº°Çس»°í, Æ÷¿ì½´³Ý°ú ¶Ç ´Ù¸¥ ¹éµµ¾î, À¥¼ÐÀ» »ç¿ëÇØ »©µ¹¸°´Ù
3) ÀÀ·Ï, ¼º£¿À, FRP¸¦ »ç¿ëÇØ SSH Æ÷¿öµùÀ» ÇÏ°í ¸®¹ö½º ÇÁ·Ï½Ã¸¦ ¼³Á¤ÇÑ´Ù.
±×·¯¸é¼ Ŭ¸®¾î½ºÄ«ÀÌ´Â ¡°Æø½º Å°Æ° Ä·ÆäÀÎÀº ÇöÀçµµ Áö¼ÓµÇ°í ÀÖÀ¸¸ç, À̶õ Á¤ºÎÀÇ Áö¿øÀ» ²ÙÁØÈ÷ ¹Þ°í ÀÖÀ» °¡´É¼ºÀÌ ³ô´Ù¡±°í °æ°íÇß´Ù. ¡°ÁÖ·Î IT, ±¹¹æ, Àü±â, ¿¡³ÊÁö, Ç×°ø »ê¾÷ÀÌ Ç¥ÀûÀÌ µÇ°í ÀÖ½À´Ï´Ù.¡± ÇöÀç±îÁö ÇÇÇظ¦ ÀÔÀº ±¹°¡´Â À̽º¶ó¿¤, ¹Ì±¹, »ç¿ìµð¾Æ¶óºñ¾Æ, ·¹¹Ù³í, Äí¿þÀÌÆ®, UAE, È£ÁÖ, ÇÁ¶û½º, Æú¶õµå, µ¶ÀÏ, Çɶõµå, Çë°¡¸®, ÀÌÅ»¸®¾Æ, ¿À½ºÆ®¸®¾Æ´Ù.
Ŭ¸®¾î½ºÄ«ÀÌ´Â ¡°À̶õÀÇ ÇØÅ· ±×·ìÀÌ ¼·Î Çù¾÷ÇÏ°í ÀÖ´Ù´Â Á¤È²ÀÌ °è¼ÓÇؼ ³ªÅ¸³ª°í Àִµ¥, ÀÌ´Â À̶õÀ» ÀûÀ¸·Î µÎ°í ÀÖ´Â ±¹°¡µé¿¡ Å« À§ÇùÀÌ µÉ ¼ö ÀÖ´Ù¡±°í °æ°íÇß´Ù. ¡°Çù¾÷À» Çϸé ÀÎÇÁ¶ó¿Í µµ±¸¸¦ °øÀ¯ÇÒ ¼ö ÀÖ¾î ÃßÀû¿¡ È¥¼±À» ÁÖ°í, °ø°Ý ºñ¿ëÀº ¾Æ³¥ ¼ö ÀÖ½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. À̶õÀÇ ÇØÅ· ±×·ì APT33°ú APT34, 2017³âºÎÅÍ Çù¾÷ÇØ¿Â µí.
2. ÀÎÇÁ¶ó¿Í µµ±¸¸¦ °øÀ¯ÇÏ¸é¼ °ø°Ý ºñ¿ë ³·Ãß°í ¼º°ø·üÀº ³ôÀÓ.
3. ƯÈ÷ ±â¾÷µéÀÌ »ç¿ëÇÏ´Â VPN Á¦Ç°µé¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡À» ÁýÁßÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>