상세 컨텐츠

본문 제목

STOLEN PENCIL 캠페인, 교육 기관들 노려

국내외 보안동향

by 알약(Alyac) 2018. 12. 10. 16:01

본문

STOLEN PENCIL campaign, hackers target academic institutions.


북한과 관련이 있는 APT 그룹이 적어도 올해 5월부터 교육 기관들을 노리고 있었던 것으로 나타났습니다.


이들은 교육 기관들에 스피어 피싱 공격을 실행했습니다. 이 피싱 메시지에는 사용자들이 악성 구글 크롬 확장 프로그램을 설치하도록 속이려 시도하는 디코이 문서가 있는 웹사이트로의 링크도 포함 되어 있었습니다.


STOLEN PENCIL이라 명명 된 이 캠페인의 피해자들 중 상당 수는 다수 대학의 생물 의학 공학 전문가였습니다.


공격자들은 기성 툴을 사용해 지속성을 유지하지만, NetScout에 따르면 이들의 OPSEC은 허술했습니다.


“이 공격의 궁극적인 동기는 알 수 없었지만, 공격자들은 크리덴셜을 찾는데 매우 능숙했습니다. 타겟에게 발송 된 스피어피싱 이메일은 미끼 문서를 보여주며 즉시 악성 구글 크롬 확장 프로그램을 설치하라는 창이 뜨는 웹사이트로 피해자들을 유인했습니다.”


“일단 침입에 성공하면, 공격자들은 접근을 유지하기 위해 RDP(원격 데스크탑 프로토콜) 등의 기성 툴을 사용합니다.”


공격자들은 많은 기본 피싱 페이지들을 사용했습니다. 더욱 정교하게 만들어진 피싱 페이지에서는 아이프레임에서 정상적인 PDF를 표시하고 사용자들이 크롬 웹 스토어에서 “Font Manager” 확장 프로그램을 설치하도록 이동시켰습니다.


이 악성 확장 프로그램은 또 다른 사이트로부터 JavaScript를 로드합니다. 연구원들은 합법적인 jQuery 코드만을 찾을 수 있었는데, 공격자들이 분석을 어렵게 하기 위해 악성 코드를 바꿔치기 했기 때문인 것으로 추측됩니다. 이 악성 확장 프로그램은 피해자가 방문한 모든 웹사이트의 데이터를 공격자가 읽을 수 있도록 허용합니다. 정황상 공격자들은 브라우저 쿠키 및 패스워드를 훔치려 시도한 것으로 보입니다.


전문가들은 공격자들이 피해자를 해킹하기 위해 악성코드를 사용하지 않았으며, RDP를 통해 해킹 된 시스템에 접근했으며 원격 접근이 매일 06:00 ~ 09:00 (UTC)에 이루어진 것을 발견했습니다.


STOLEN PENCIL 공격자들은 또한 해킹 되었거나 훔친 인증서를 사용해 캠페인에 사용 된 PE 파일들 중 일부를 서명했습니다. 이 연구원들은 MECHANICAL과 GREASE로 명명 된 서명 된 툴 2개를 발견했습니다. 


MECHANICAL은 키 입력을 저장하고 이더리움 지갑 주소를 공격자의 것으로 변경하며 GREASE는 시스템에 윈도우 관리자 권한을 추가하고 RDP를 활성화합니다.


또한 전문가들은 포트 스캐닝, 메모리 패스워드 덤핑을 포함한 기타 해킹 작업용 툴을 포함하고 있는 ZIP 압축 파일을 발견했습니다. 포함 된 툴 목록은 KPortScan, PsExec, RDP 활성화를 위한 배치파일들, Procdump, Mimikatz, Eternal suite 및 Mail PassView, Network Password Recovery, Remote Desktop PassView, SniffPass, WebBrowserPassView 와 같은 Nirsoft tools들 등입니다.


STOLEN PENCIL 캠페인은 공격자들의 활동들 중 작은 일부분일 뿐입니다. 연구원들은 공격자가 기본 기술, 기성 프로그램을 사용한다는 것, 그리고 한국어를 사용한다는 점으로 미루어 볼 때 북한 출신인 것으로 추정 된다고 밝혔습니다.


알약에서는 해당 악성코드에 대해 Trojan.Agent.86088C, Backdoor.Agent.dieadmin, Trojan.Agent.114832로 탐지중에 있습니다. 




출처 :

https://securityaffairs.co/wordpress/78774/apt/stolen-pencil-campaign.html

https://asert.arbornetworks.com/stolen-pencil-campaign-targets-academia/



관련글 더보기

댓글 영역