APT OceanLotus 3년간의 위협

2012년부터, 해외의 해커조직으로 부터 중국의 정부기관, 연구기관, 해양관련 기관, 항공기업 등 중요 기업들이 조직적이고 계획적인 공격을 받았습니다. 

그리고 이 공격조직을 Ocean Lotus라 명명하였습니다. 

이 조직은  스피어피싱, 워터링공격 등의 방법과 여러가지 사회공학적 기법을 통하여 공격을 시도하였으며,중국의 공격 대상자들에게 특정 악성코드를 유포하여 일부 정부부처의 사람들을 몰래 모니터링하였을 뿐만 아니라, 아웃소싱 업체 및 업계 전문가들의 컴퓨터 시스템에서 관련자료 및 기밀문서들을 탈취하였습니다.

현재까지 수집된 OceanLotus의 악성코드 샘플은 100여개가 넘으며, 감염자 분포는 중국 내 29개 성 및 행정구역이며, 중국 외 지역은 36개 국으로 확인되었습니다. 악성코드 감염자 중 92.3%가 중국에 있는 사용자 들 이였으며, 북경과 천진이 감염자가 제일 많았습니다. 

이 악성코드는 자신을 숨기기 위하여, 최소 6개의 국가에 C&C 서버를 등록하였으며, 35개의 서버 도메인 네임을 사용하였으며, 관련 서버의 ip주소는 19개를 갖고 있었으며, 서버는 총 13개 이상의 각기 다른 국가에 설치하였습니다.

 

2014년 2월 이후에, OceanLotus의 공격은 활발히 이루어졌으며, 2014년 5월 대규모의 스피어 피싱 공격을 감행하였습니다. 그결과 대량의 감염자가 발생하였습니다. 그리고 5월, 9월 및 2015년 1월에도 이 조직은 중국의 여러 정부기관, 연구기관 및 외교기업의 홈페이지를 변조하거나 악성코드를 심어 목표성이 명확한 워터링 홀 공격을 진행하였습니다.

 

OceanLotus는 4개의 각기 다른 악성코드를 사용하였습니다. 

초반에는 OceanLotus의 악성코드 제작 기술은 별로 높지 않았고 복잡하지도 않아 백신에 쉽게 탐지되었습니다. 하지만 2014년 이후, OceanLotus의 악성코드는 문서파일 위장, 랜덤 암호화 및 자가삭제 등의 복잡한 기술들을 이용하여 백신 탐지를 어렵게 하려고 하고있습니다. 또한 2014년 11월 이후에 OceanLotus 악성코드는 원격 컨트롤 기술을 사용하여 그 위험성이 매우 높아졌으며, 해당 악성코드에 대한 탐지도 더 어려워졌습니다. 

OceanLotus조직의 공격주기는 매우 길며(3년 이상 지속), 공격의 대상이 명확하며, 공격의 기술난이도가 높으며, 사회공학적 기법을 잘 사용하는 것으로 확인되었습니다. 이는 즉, 이 조직은 일반 해커들이 아니며, 해외 정부의 지원을 받는 높은 조직력과 전문력을 겸비한 해커 조직일 가능성이 큽니다. 

공격 개요 

2014년 4월  

OcenLotus 조직과 관련된 악성코드 처음 확인. OceanLotus조직이 처음으로 공격 활동을 시작한 년도이지만, 그 후 2년동안 OceanLotus는 별다른 활동이 없었다. 

2014년 2월 

OceanLotus는 스피어피싱의 방법으로 국내(중국) 목표대상들을 공격하였다. OceanLotus가 공격을 다시 재개한 시점이며, 이후 14개월동안 중국의 각기다른 여러 목표들을 대상으로 끊임없이 공격을 진행하였다. 

2014년 5월 

OceanLotus는 중국 내 어떤 권위있는 해양연구기구에 대규모의 스피어 피싱 공격을 진행하였으며, 지금까지 14개월 중 가장 규모가 큰 스피어피싱 공격이였다. 

또한 어떤해양건설기업의 홈페이지를 변조하여 악성코드를 심어 대규모의 워터링홀 공격을 진행하였다. 

2014년 6월

OceanLotus는 해양산업자원관련기구에 대규모의 스피어피싱 공격을 진행하였다.

2014년 9월

OceanLotus는 중국해역건설관련업계에 2차로 대규모의 워터링홀 공격을 진행하였다. 

2014년 11월 

OceanLotus는 기존의 악성코드에서 더 공격적이고 자가숨김 기능을 가진 원격조종 악성코드로 대규모 업그레이드 하였으며, 국내(중국)을 타겟으로 한 공격을 지속하였다. 

2015년 1월 19일

OceanLotus는 중국정부의 모 해양산업기구의 홈페이지를 변조하여, 3차 대규모의 워터링홀 공격을 진행하였다. 

OceanLotus 공격방법

OceanLotus는 스피어피싱과 워터링홀 두 가지 공격방법을 이용하였습니다. 

워터링홀

 

공격 피해를 입은 정황으로 보았을 때, 스피어피싱 공격은 58.6%를 차지하고, 워터링 홀 공격은 41.4%를 차지하는 것으로 나타났습니다. 

도메인 변경

공격자들은 자신들의 신분을 숨기기 위하여, 지속적으로 서버와 C&C 서버의 도메인과 IP를 변경하였습니다. 통계적으로 보았을 때, 지난 3년간, C2서버로 사용된 도메인은 35개이며, 관련 서버 IP주소는 19개로 밝혀졌습니다. 또한 대부분의 도메인들은 whois 정보 숨기기 설정을 켜놓아 추적을 어렵게 했습니다. 

 

공격 재개시점과 관련 도메인 통계를 기반으로, 시간 순서대로 도메인을 나열해 보았습니다. 시간적으로 보았을 때, 2014년 2월부터 2014년 4월까지 대량의 새로운 도메인 신청이 이루어 진것으로 확인되었습니다. 아래는 도메인 생명주기입니다. 

아래는 시간 순서대로 나열한 표 입니다.

 

참고 : 

https://github.com/kbandla/APTnotes/blob/master/2015/OceanLotusReport.pdf