포스팅 내용

악성코드 분석 리포트

안보·대북 연구기관 등을 상대로 한 APT 공격, '작전명 물 탱크(Operation Water Tank)'



■ 대북 분야 표적의 APT 공격 '물탱크 작전(Operation Water Tank)' 배경



안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.


2018년 04월부터 05월까지 한국의 외교·안보·통일 분야의 연구를 수행하는 싱크탱크(Think Tank) 기관 및 대북단체, 군 관련 웹 사이트를 상대로 한 은밀한 워터링 홀(Watering Hole) 공격이 수행되었습니다.



※ 싱크탱크(Think Tank)


고유 전문 분야의 조사·분석·연구를 조직적으로 결집해 수행하고, 그로 인한 개발성과를 제공하는 것에 목적을 가진 연구집단을 의미하며, 주로 국가의 정책이나 기업의 경영전략을 연구한다. 


※ 워터링 홀(Watering Hole) 공격


육식동물인 사자가 초식동물 사슴 등을 습격하기 위해 물 웅덩이(Watering Hole) 근처에서 매복하고 있는 형상을 상징적으로 표현한 사이버공격으로 사전에 공격 대상에 대한 정보를 확보해, 관련 분야의 웹 사이트를 해킹하고, 웹 사이트에 악의적인 취약점(Exploit) 코드를 삽입해 해당 사이트에 접속한 사람들만 감염되도록 만든 표적 공격



이번에 수행된 공격은 매우 조용하고 은밀하게 수행되었으며, 모두 한국의 특정 사이트들을 대상으로 수행되었습니다. 또한, 내부 시스템 및 인프라 침투에 사용된 취약점은 대부분 한국의 기업과 기관이 주로 사용되는 고유한 프로그램이 악용되었습니다.


한국내 다수의 웹 사이트가 지능형지속위협(APT) 공격에 노출되었지만, 해당 전문분야에 속하지 않은 일반 사람들이 자주 접속하는 웹 사이트는 아닙니다.


ESRC에서는 해당 공격에 대한 면밀한 조사를 통해, 이번 워터링 홀 기반 표적공격이 특정 정부기관의 후원을 받아 정교하게 해킹을 시도하고 내부 기밀자료를 탈취하는 위협그룹(State-sponsored Actor)으로 판단하고 있습니다.


이들의 텔레메트리 자료(Telemetry Data)를 살펴보면, 수년 전부터 한국의 방위산업체, 금융보안업체, 국방기관, 대기업, 금융기업 등을 상대로 은밀한 내부침투 및 사이버정찰을 전문적으로 수행했던 TTPs(Tactics/Tools, Techniques and Procedures)와 정확히 일치하는 캐스팅 포인트가 존재합니다. 


ESRC는 공격자 관점에서 그들이 사용한 사이버 전술과 현장에 남겨진 다양한 단서와 증거를 종합적으로 분석하고, 국가기반 위협그룹의 경우 고유한 작전명을 부여해 지속적인 추적과 연구를 수행하고 있습니다.


이번 표적공격은 한국의 특정 싱크탱크(Think Tank) 사이트 등을 상대로 수행한 워터링 홀(Watering Hole) 공격이라는 의미에서 '작전명 물 탱크(Operation Water Tank)'로 명명하여, 과거 한국에서 식별된 다양한 침해사고와의 유사성 분석을 수행 중입니다. 여기서 사용된 탱크(Tank)라는 표현은 군사무기인 '전차'라는 표현도 내포하고 있습니다.



■ 은밀하고 위대하게, 함정을 파고 기다려라!



4.27 남북정상회담과 판문점 선언 등 한반도의 정세는 시시각각 급변하고 있습니다. 최근에 관련된 내용을 담은 한글 문서파일의 취약점을 악용한 스피어 피싱(Spear Phishing) 정황이 연이어 포착되고 있는 상황이기도 합니다.


스피어 피싱은 대부분의 업무에 쓰이고 있는 이메일 서비스 매개체를 활용해 특정인을 상대로 수행하는 표적공격이고, 1:1 맞춤형 공격이 수행될 경우 외부에 노출될 확률이 상대적으로 적으며, 이메일 주소를 통한 공격타깃이 명확하게 정해져 있습니다.


반대로 워터링 홀 공격은 특정 고유분야의 웹 사이트를 해킹해 그곳에 접속하는 불특정 다수를 노리게 되며, 전문가 집단의 포괄적인 위협대상이라 할 수 있습니다.


따라서 워터링 홀 공격은 정치·사회적으로 특정 기간에만 은밀하게 치고 빠지는 전략이 활용될 가능성이 높습니다.



■ 물 탱크 사이버 작전의 실체를 파헤치다.



공격자는 2018년 4월 경부터 5월 사이 집중적으로 특정 웹 사이트를 해킹해 보안취약점을 가진 다양한 한국형 소프트웨어의 Exploit Code 를 삽입합니다.


또한, 취약점 코드가 캐스팅된 웹 사이트는 시차에 따라 변경을 하여 보다 많은 취약코드가 작동하도록 신경을 쓰게 됩니다.


실제 공격에 사용된 코드는 보안관제를 회피하기 위해 나름대로 난독화 기능을 포함하고 있으며, 실제 정상 웹 사이트에 등록되어 있는 스크립트로 위장하는 전략전술을 구사하고 있습니다.


ESRC는 추적분석을 통해 해당 위협그룹이 다년간 다양한 공격경험과 지식을 보유하고 있음을 알 수 있었습니다.



[그림 1] 워터링 홀 공격에 이용된 공격 코드 화면 A

 


[그림 2] 워터링 홀 공격에 이용된 공격 코드 화면 B



보안 취약점 공격에 사용된 소프트웨어는 매우 다양한 종류가 활용됐고, 분석과 탐지를 방해하기 위해 나름대로 코드 난독화 기술을 사용하고 있습니다.


취약점 코드는 종류에 따라 여러 단계를 거쳐 수행됩니다. 각각 다른 취약점 코드이기 때문에 개별적으로 다르게 작동이 될 수 있습니다.


워터링 홀 공격에 사용된 방식은 주로  액티브 액스 오브젝트 컨트롤 취약점이며, 취약점 방식에 따라 VBS 스크립트를 생성해 작동을 하게 됩니다.



[그림 3] 취약점 공격에 사용된 액티브 액티브 컨트롤 로드 화면



Exploit Code가 실행되는 과정에 'temp.vbs' 코드를 활용하게 됩니다. 흥미롭게도 여기서 사용된 코드는 2017년 워터링 홀 공격에서도 동일하게 식별된 사례가 존재합니다.


'temp.vbs' 코드 내부를 살펴보면 2017년에 발견됐던 사례와 같은 흐름으로 작성된 것을 알 수 있습니다. 



[그림 4] 워터링 홀 공격에 이용된 VBS 코드 비교 화면



2017년 한국의 특정 대상을 상대로 수행된 것으로 추정되는 워터링 홀 공격에서 발견된 악성 프로그램과 이번 2018년 물탱크 작전에서 사용된 악성 프로그램의 내부 코드를 비교해 보면 흥미롭게도 동일한 함수 루틴을 가지고 있습니다.


이 공격 코드의 유사 히스토리를 추적해 보면, 2007년에 사용된 기법과도 일부분 오버랩되고 있습니다. 동일한 공격자가 아니더라도 해당 위협그룹은 다년 간 일부 코드를 공유하거나 재활용하고 있을 것으로 추정됩니다.



[그림 5] 과거 한국 침해사고에서 발견된 코드와 물탱크 작전에서 사용된 코드의 유사성 비교



이번 사이버 작전처럼 국가 차원의 지원을 받는 것으로 추정되는 위협그룹(State-sponsored Actor)의 활동은 다양한 전략 전술이 총동원되고 있습니다.


특히, 한국에서 주로 사용하고 있는 특정 액티브 액스 컨트롤 취약점을 교묘하게 맞춤형으로 결합하는 등 공격자의 위협수위가 갈수록 높아지고 있습니다.


이에 이스트시큐리티 대응센터(ESRC)에서는 국가기반 위협그룹에 대한 체계적이고 지속적인 인텔리전스 연구와 추적을 통해, 유사 보안위협으로 인한 피해를 최소화할 수 있도록 관련 모니터링을 강화하고 있습니다.


참고로 국가기반 위협그룹에 대한 침해지표(IoC) 등은 사이버 보안 협력을 통해 서로 간 공유가 가능하며, 협력할 용의가 있으시다면 문의는 'esrc@estsecurity.com' 주소로 연락해 주시기 바랍니다.






티스토리 방명록 작성
name password homepage