Endpoint Protection

 View Only

스캐럽 공격자들, 2012년부터 러시아어 사용자를 선별하여 표적으로 삼아 

Jan 22, 2015 08:57 AM

scarab-concept-image.png

작성자: Gavin O’Gorman

도운이: Yi Li

이른바 스캐럽(Scarab)이라 불리는 공격 집단이 2012년 1월 또는 그 이전부터 러시아 국내외의 특정 러시아어 사용자를 대상으로 고도의 표적 공격을 감행하고 있습니다. 이들은 개별 공격에서 기업이나 정부 기관보다 소수의 개인을 노리며 경제, 군사, 시사 관련 혹은 포괄적 성격의 유인책을 사용합니다. 이 공격으로 인해 감염된 시스템 수가 월 평균 10대 미만이고 피해자의 로컬 네트워크를 통한 확산 시도가 드러나지 않았다는 점은 스캐럽이 공격 대상을 극히 한정하여 작전을 수행함을 시사합니다.

스캐럽의 활동 중 상당수는 악성 첨부 파일이 포함된 이메일로 이 조직의 맞춤형 악성 코드(Trojan.ScieronTrojan.Scieron.B)를 배포하는 데 주력합니다. 이러한 악성 파일에는 해당 벤더에서 이미 패치를 출시한 비교적 오래된 취약점을 이용하는 익스플로잇이 포함됩니다. 공격자는 피해자의 시스템을 성공적으로 감염시킨 다음 기초적인 백도어 보안 위협인 일명 Trojan.Scieron을 이용하여 해당 시스템에 Trojan.Scieron.B를 설치합니다. Trojan.Scieron.B에는 루트킷과 유사한 구성 요소가 있는데, 이러한 요소는 일부 네트워크 활동을 숨기고 더욱 업그레이드된 버전의 백도어 기능을 수행합니다.

스캐럽 공격자 분석
시만텍의 조사에 따르면, 스캐럽 공격자들은 공격에 적합한 다양한 맞춤형 악성 툴을 개발하여 사용할 정도의 기술적 역량을 갖고 있습니다. 하지만 압축된 아카이브에 저장된 구식 익스플로잇과 실행 파일을 사용하여 보안 위협을 배포하는 것을 보면, 기술 수준이 매우 높거나 풍부한 자원을 보유한 것은 아닙니다.

(언어 리소스 분석에 따르면) 공격자들이 한자에 익숙하다는 징후가 있으며, 주로 러시아와 세계 각지의 러시아어 사용자를 표적으로 삼는 것으로 보입니다.

Fig1_21.png
그림 1. 시만텍 텔레메트리에서 파악한 스캐럽 피해자 분포

이들은 C&C(명령 및 제어) 작전에 거의 대부분 동적 DNS(도메인 이름 시스템) 도메인을 사용합니다. C&C 서버는 주로 한국에 있지만, 다른 나라에 서버를 둔 경우도 있었습니다.

2012년에는 스캐럽 피해자에 대한 정보가 그리 많지 않았습니다. 그러다가 2012년 10월부터 Symantec.Cloud에서 스캐럽에 이용된 다수의 이메일을 차단하기 시작했습니다. 모든 이메일은 @yandex.ru라는 이메일 주소에서 발송된 것이었습니다.

초기공격

2012년 10월 29일, 한 대형 소매업체에서 일하는 두 사람이 “Экспериментальное определение эффективно”라는 러시아어 제목의 이메일을 받았습니다. 이 제목은 “실험적 정의가 효과적”이라는 뜻입니다.

이 이메일에 Microsoft Word 문서가 첨부되어 있었는데, 이 문서는 Microsoft Windows 일반 제어 ActiveX 컨트롤 원격 코드 실행 취약점(CVE-2012-0158)을 이용하여 익스플로잇을 실행합니다. 실행된 익스플로잇은 피해자의 시스템에 Trojan.Scieron을 복사합니다. 공격자들은 2013년 8월까지 .doc 악성 코드 드로퍼가 포함된 이메일을 이따끔씩 발송했습니다.

2013년 1월 22일, 스캐럽 공격자들이 “Joint Call For Papers - Conferences / Journal Special Issues, January 2013(공동 논문 공모 - 컨퍼런스/2013년 1월 특별호)”라는 영문 제목의 이메일을 두 사람에게 보냈습니다. 공격자들은 호주의 재정 지원을 받아 진행되었다가 2010년에 완료된 한 학술 프로젝트의 관계자 이메일 계정으로 이 메시지를 보냈습니다. 연구원들은 연구와 무관한 용도로 이메일 계정을 계속 사용했고 이런 이유로 공격의 표적이 되었을 가능성이 있습니다. 7일 후에는 다시 동일한 두 사람에게 “Информация по обслуживанию высвобожденны”라는 러시아어 제목의 이메일이 발송되었습니다. 제목을 직역하면 “서비스 관련 정보 발표”입니다.

G20 정상 회담 주제

이때를 기점으로 적어도 2014년 1월까지는 공격자들이 금융 관련 유인책과 표적에 주력했습니다. 공격자들은 4월에 한 유럽 정부 관계자에게 “G20 receives clean bill of health at Boao(G20, 보아오에서 양호한 건강증명서 받아)”라는 제목의 이메일을 보냈습니다.

8월에는 국제경제기구에서 일하는 6명에게 다른 이메일을 보내기도 했습니다. “G20 на 2013 г”라는 러시아어 제목의 이메일이었는데, 이를 번역하면 “2013년 G20(G20 for 2013)”이라는 뜻입니다.

역시 8월에 G20과 관련된 마지막 이메일이 유럽연합정부재경부(Economic Ministry of a European government) 직원 두 사람에게 발송되었습니다. 영어로 된 이메일 제목은 “About G20 details(G20 세부 정보)”였습니다.

러시아 뉴스로 유인

이후 한동안은 다른 이메일이나 활성 감염 탐지 사례가 보고되지 않다가 2014년 1월에 스크랩의 활동이 재개된 후 지금까지 계속되고 있습니다. 그때부터는 공격자들이 “.scr” 파일을 사용하여 Trojan.Scieron을 유포합니다. 이 .scr 파일의 이름은 대개 러시아어인데 공격 표적의 특징을 암시합니다. .scr 파일이 이메일을 통해 전파되고 있을 가능성이 높지만, 아직까지 확인된 바는 없습니다. .scr 파일이 .rar 파일에 포함되었을 가능성도 높지만 역시 확인되지는 않았습니다.

공격자들이 배포한 악성 .scr 파일 이름 중 하나는 “Россия к 2016 году проведет испытания газовых турбин для военных кораблей.”입니다. 즉 “러시아 연방, 2016년까지 전함용 가스 터빈 시험 가동”이라는 뜻입니다. 이 제목은 2014년 6월 러시아 미디어 웹 사이트에 게재된 기사에서 가져온 것입니다.

Fig2_14.png
그림2. 공격자들은 러시아 미디어 사이트의 뉴스 기사 제목을 그대로 악성 파일 이름에 사용했습니다.

더 최근에 사용된 파일 이름으로는 “план работы на июнь 2014 года.doc.scr”가 있는데, 번역하면 매우 포괄적인 “2014년 6월 업무 계획.doc.src”가 됩니다.

시만텍 텔레메트리를 토대로 작성된 그림 1의 국가당 총 감염 건수를 살펴보면, 러시아어 사용자가 아닌 경우도 있지만 러시아 또는 적어도 러시아어 사용자가 스캐럽 공격자들의 주 표적임이 분명해집니다.

스캐럽의 악성 코드

공격자들은 이러한 모든 공격에서 Trojan.Scieron의 변종을 사용하여 피해자의 시스템을 감염시키려 했습니다. 이는 기본적인 수준의 백도어 보안 위협으로, 표적 시스템에 다른 악성 코드를 다운로드하는 데 사용됩니다.

Trojan.Scieron의 주 페이로드는 DLL 파일에 있습니다. 이 파일은 트로이 목마에 감염된 Microsoft Word 문서나 다른 PE 파일에 의해 설치됩니다.

트로이 목마가 피해자의 시스템을 감염시키면 아래와 같은 작전을 수행할 수 있습니다.

  • 시스템 정보(예: 시스템 이름, 호스트 이름, 운영 체제 버전, 드라이브 유형) 수집
  • 추가 파일 다운로드
  • 파일 실행
  • 피해자의 시스템에서 특정 파일 검색
  • 디렉터리 나열
  • 파일 삭제
  • 다른 폴더로 파일 이동

조사한 사건 대부분에서는 Trojan.Scieron을 사용하여 이 파일의 업그레이드 버전을 다운로드했는데, 시만텍은 이를 Trojan.Scieron.B로 탐지합니다. 이 보안 위협에는 기본적인 '루트킷과 유사한' 툴이 있어 네트워크 활동의 일부를 숨깁니다.

지금까지 확인된 Trojan.Scieron.B의 파일 이름은 주로 seclog32.dll(백도어)과 hidsvc.dat(루트킷)입니다. 이 백도어는 아래와 같은 기능을 수행합니다.

  • 프로세스 생성, 나열, 종료
  • 레지스트리 항목 읽기, 설정, 삭제
  • 파일 및 디렉터리 읽기, 쓰기, 나열, 삭제
  • 캐시에 저장된 URL 수집
  • 원격 셸 실행
  • 최근 활성 파일 수집
  • 구성 파일 세부 사항 검색

Trojan.Scieron.B의 '루트킷' 기능을 사용하면 통신에서 TCP(Transmission Control Protocol, 전송 제어 프로토콜) 포트를 숨길 수 있습니다.

시만텍과 노턴의 보호

스캐럽 공격자들은 지난 몇 년간 맞춤형 악성 코드를 사용하여 선별된 소수의 피해자를 공격하는 방식을 유지해 왔습니다. 이러한 집단은 구식 익스플로잇을 사용하지만, 몇 년째 계속 유사한 작전을 펼치는 것으로 볼 때 공격에서 어느 정도 성공을 거둔 듯합니다. 러시아어 사용자에 주력하는 것으로 보아, 이들이 구체적인 표적을 정한 다음 성공적으로 감염시키기 위해 계속해서 이메일 캠페인의 제목을 수정하면서 공격을 시도하고 있음을 알 수 있습니다.

Symantec.Cloud는 스캐럽 공격자가 보내는 이메일을 차단합니다. 또한 시만텍 및 노턴 제품은 아래와 같은 스캐럽 맞춤형 악성 코드를 탐지합니다.

일반적으로 아래와 같은 베스트 프랙티스를 통해 스캐럽 공격으로 인한 시스템 감염을 방지할 수 있습니다.

  • 요청하지 않았거나 예상치 않은 의심스러운 이메일을 받는 경우 각별히 주의하십시오.
  • 요청하지 않았거나 예상치 않은 의심스러운 이메일의 링크를 누르지 마십시오.
  • 요청하지 않았거나 예상치 않은 의심스러운 이메일의 첨부 파일을 열지 마십시오.
  • 시스템의 소프트웨어, 운영 체제, 브라우저 플러그인을 업데이트하여 알려진 취약점에 대한 익스플로잇 공격을 차단하십시오.
  • 노턴 시큐리티와 같은 종합적인 보안 소프트웨어를 사용하여 악성 코드로부터 스스로를 보호하십시오.

감염 지표(IoC)

전체 IoC 목록은 시만텍 감염 지표 문서에서 확인하십시오.

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.