상세 컨텐츠

본문 제목

수백개의 기업을 타겟으로 하는 산업 사이버 스파이 캠페인 발견

국내외 보안동향

by 알약(Alyac) 2019. 12. 19. 10:40

본문

Industrial Cyber-Espionage Campaign Targets Hundreds of Companies


수백 곳의 제조업체가 APT 공격의 타깃이 되고 있습니다. 공격자는 오래된 인포스틸러의 새로운 버전을 사용해 기밀 데이터와 파일을 탈취합니다.


공격자는 주로 PDF 파일로 위장한 악성 파일이 첨부된 스피어피싱 이메일을 사용합니다. 이들이 선택한 악성코드는 Separ로 브라우저와 이메일 클라이언트에서 로그인 데이터를 훔치고 다양한 문서 및 이미지 타입을 노립니다.


다양한 국가에서 피해자 발생해


‘강남 인더스트리얼 스타일’(Gangnam Industrial Style)이라 명명된 이 캠페인은 지금까지 시스템 최소 200개를 해킹한 것으로 나타났습니다. 피해자 중 약 60%가 대한민국의 기업이었습니다. 철강, 파이프, 밸브, 제조 업체, 기술 기업, 화학 공장 건설 회사 등이 피해를 입었습니다.


대한민국에서 발생한 피해기업들 중에는 화학 공장, 송배전 시설, 재생 에너지 분야 회사에 제품을 공급하는 중요 인프라 장비 제조업체 또한 포함되어 있었습니다.


다른 국가에 위치한 유사한 기업들도 공격을 받았습니다. CyberX의 threat intelligence 팀인 Section 52는 태국(12.9 %), 중국(5.9 %), 일본, 인도네시아, 터키, 에콰도르, 독일, 영국에서도 해킹된 시스템을 발견했습니다.






<이미지 출처: https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/>


산업 관련 주제를 사용하는 피싱 전략


공격자들은 수신인을 위해 특별히 제작한 맞춤형 악성 이메일을 사용했습니다. 한 이메일에서 공격자는 지멘스(Siemens) 자회사의 직원으로 위장해 체코의 발전소 설계를 위한 견적 요청(RFQ)으로 위장했습니다.

이 메시지는 다이어그램과 공개적으로 얻을 수 있는 연료 가스로 발전소를 운영하는 방식에 대한 기술 문서를 포함하고 있었습니다.


<이미지 출처: https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/>


공격자는 또 다른 가짜 견적요청서에서 일본의 주요 대기업의 기술 자회사로 위장해 인도네시아에 화력 발전소를 짓는 것에 대한 관심을 표현했습니다.


<이미지 출처: https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/>


Separ 악성코드의 새로운 버전


CyberX의 보안 연구원들은 강남 인더스트리얼 스타일 캠페인에서 사용된 악성코드를 분석한 결과 2013년 처음 발견된 Separ 인포스틸러가 사용되었다는 것을 발견했습니다.


하지만 이 공격에 사용된 변종은 2019년 초 발견된 Separ 버전의 진화된 버전이었습니다.


CyberX는 보고서를 발행해 이 악성코드가 시스템 재부팅 후에도 살아남기 위해 자동실행 기능을 사용하며 아래의 무료로 얻을 수 있는 툴들 대부분을 포함하고 있다고 밝혔습니다.


SecurityXploded의 Browser Password Dump v6.0

SecurityXploded의 Email Password Dump v3.0

무료 FTP 클라이언트인 NcFTPPut 3.2.5

The LaZagne Project (패스워드 dumper)

deltree (폴더 삭제)

윈도우 NT/2000/XP용 Command Line Process Viewer/Killer/Suspender V2.03

보안 FTP 클라이언트MOVEit Freely 1.0.0.1

tricerat의 Sleep tool


이 악성코드는 설치가 완료되면 브라우저와 이메일 클라이언트에서 크리덴셜을 훔치고 중요해 보이는 문서를 찾습니다.


수집된 모든 데이터는 FTP를 통해 무료 웹 호스팅 서비스인 freehostia[.]com으로 전송됩니다.


<이미지 출처: https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/>


연구원들은 현재까지도 도난당한 크리덴셜이 공격자의 C&C 서버로 전송되고 있어 강남 인더스트리얼 캠페인은 지금도 진행되고 있는 것으로 보인다고 밝혔습니다.



출처 :

https://www.bleepingcomputer.com/news/security/industrial-cyber-espionage-campaign-targets-hundreds-of-companies/

https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/

관련글 더보기

댓글 영역