ThreatRecon팀 “그들의 활동이 생각보다 오래되었다는 점 확인하고 놀라움 느껴”

▲ NSHC 보고서 이미지
▲ NSHC 보고서 이미지

NSHC(허영일 대표) RedAlert, ThreatRecon팀이 지난 1월 초, 한국 통일부 취재기자 77명을 대상으로 유포된 악성코드에 대해 분석 리포트를 30일 공개했다.

ThreatRecon팀은 보고서를 통해 “이번 공격은 특정 정부가 지원하는 해킹그룹 SectorA05 조직의 하위 그룹으로 추정된다. 해당 악성코드를 기점으로 과거 활동을 추적한 결과 이들은 일본 IP를 사용하는 한국 도메인의 특정 C2서버를 최소 27개월 이상 지속적으로 사용하며 활동한 것”이라며 “또 이메일을 통해 악성코드를 유포하는 공격뿐만 아니라 이메일 계정 정보를 탈취하기 위한 피싱 공격도 함께 하고 있다. 주로 중앙정부, 통일, 외교 영역과 국방 영역 등 한국 정부 인사 등을 해킹 대상으로 삼았다. 최근에는 가상화폐 거래소 및 사용자들을 대상으로 확대해 금전적 이득도 주요 목적으로 하고 있다”고 설명했다.

이어 팀은 이들 공격 활동을 ‘Operation Kitty Phishing’이라고 명명했다. 이들의 공격은 현재까지도 매일 이루어지고 있으며 지금까지 발견된 공격은 빙산의 일각이라고 강조했다.

보고서에는 이번 공격자들의 이메일 계정 탈취 공격, 악성코드 배포 공격 등에 대한 상세한 분석 내용이 포함돼 있다.

◇SectorA05의 공격 방법 분석

보고서에 따르면, 공격조직 SectorA05의 최초 공격 유입 방식은 2가지 방식이다. 먼저 타깃의 이메일 계정의 패스워드를 탈취하기 위한 피싱 공격과 타깃 PC의 정보들을 탈취하기 위한 악성코드를 이메일을 통해 배포하는 공격이다.

공격자들은 타깃을 사용하고 있는 이메일 서비스와 동일한 피싱 사이트를 만들고 타깃에게 발송한다. 그들은 주로 비밀번호 재설정 요청 등 보안과 관련해 문제가 발생한 것으로 오인하도록 해 타깃이 패스워드를 입력하도록 유도한다.

악성코드는 이메일의 첨부파일을 통해 전달하는 방식을 사용한다. 이들은 이메일의 첨부파일로 다양한 방법들을 사용한다. 스크립트 파일을 전달하는 방법, 한글(HWP) 문서의 취약점을 이용한 방법, ‘EXE’ 실행 파일을 문서처럼 보이게 하는 속임수 방법 등을 사용한다. 이러한 파일들은 주로 압축 파일 형태로 전달된다.

◇공격조직의 코인탈취

R-2-1.jpg

한편 ThreatRecon팀은 SectorA05의 암호화폐 관련 코인 탈취 행위를 수행하고 있는 다는 것도 확인했다.

SectorA05 해킹그룹은 전통적으로 한국 및 주변 국각에서 각종 기밀 정보들을 탈취하는 행위를 주요 목적으로 하고 있는 조직이다. 그러나 최근 암호화폐 관련 코인을 탈취하기 위한 해킹 시도에도 많은 시간을 할애하고 있다는 것을 확인했다.

한편 해당 그룹이 정부 배후의 스파이 활동을 하는 역할에서 암호화폐 탈취를 통한 외화벌이까지 목적이 확대된 것인지 아니면 그들 중 일부가 자신들의 사익을 위해 일탈 행위로 코인을 노리고 있는지 명확하지 않다.

그러나 명확한 사실은 그들이 일부 형태의 해킹 대상으로부터 활발하게 암호화폐 관련 코인을 탈취하기 위한 활동을 지속적으로 하고 있다는 점이다. 암호화폐 거래소 임직원 및 개인 암호화폐 사용자들과 코인 관련 개발자 등이 그들의 주요 해킹 목표다. ThreatRecon팀은 실제로 공격자들의 암호화폐 지갑과 개인키가 위치한 디렉토리까지 확인했다.

◇왜 ‘Operation Kitty Phishing’인가

R-3-1.jpg

ThreatRecon팀은 SectorA05 해킹조직을 지속적으로 추적하는 과정 중에 그들이 피해자들을 관리하기 위해 사용하는 관리 스크립트를 발견했다. 그들은 피해자들을 키티(Kitty, 적립금이라는 의미의 영어)라 칭하면서 관리하고 있었다. 이것에서 착안해 그들의 작전을 ThreatRecon팀은 ‘Operation Kitty Phishing’이라고 명명한다고 밝혔다.

◇ SectorA05 해킹조직, 쉬지 않고 해킹 공격 시도

한편 ThreatRecon팀은 그들을 추적하면서 그들의 열정적인 해킹 활동에 놀랐다고 밝혔다.

팀은 “그들은 쉬지 않고 공격 대상들에게 피싱 메일을 유포했으며 악성코드 또한 지속 유포했다. 올해 초 통일부 기자들을 대상으로 악성코드를 유포한 이후에도 그들은 잠재적 암호화폐 사용자들을 대상으로 악성코드를 유포했다. 그리고 감염된 피해자들의 PC를 검색해 코인과 관련된 파일들이 있을 경우 추가적 악성코드를 개인별 맞춤으로 제작해 배포했다. 또 개별 사용자들 맞춤으로 코인 탈취를 위한 악성코드를 제작하고 실시간으로 배포했다”고 설명했다.

보고서 말미에 ThreatRecon팀은 “SectorA05의 지속적인 공격활동을 추적하며 그들의 활동이 생각보다 오래되었다는 점을 확인하고 놀라움을 느꼈다. 기존에 이메일 계정 탈취를 수행하는 피싱 조직과 악성코드를 유포하는 조직이 동일한 조직인지에 대해 판단하는 것이 매우 어려웠지만 이번 추적을 통해 그들이 동일한 조직이며 모두 동시에 수행하고 있음을 확인했다”고 밝혔다.

또 “특정 C2 서버를 무려 27개월 이상 사용하고 있음에도 그동안 이들의 활동을 제대로 막지 못한 점에 대해 매우 아쉽게 생각한다. 하지만 이제 그들의 활동이 우리를 통해 많이 드러난 만큼 앞으로 그들의 활동은 계속 감시할 것이다. 지금도 그들은 활동하고 있다. 우리는 여전히 그들을 계속 추적할 것”이라고 강조했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=45053&page=&total=

“10월 말에서 11월 말까지 새로운 변종 악성코드 지속적으로 제작해 공격”

NSHC-1-1.jpg

NSHC(허영일 대표)에서 2018년 10월 21일부터 11월 20일까지 한 달간 수집한 데이터와 정보를 바탕으로 국가 지원 해킹 그룹들의 활동을 요약 정리한 보고서를 12일 발표했다.

보고서는 지난 한 달 간 발견된 특정 정부 지원 해킹 그룹들의 활동과 관련 이슈를 정리했으며 이와 관련 특정 기업의 침해사고 정보와 알려지지 않은 침해지표도 포함하고 있다. 다음은 보고서를 발췌한 내용이다.

◇북한 정부 지원 해킹그룹의 활동

북한 정부의 지원을 받고 있는 섹터A그룹들 중 11월에는 총 4개 해킹그룹이 활동한 것이 발견됐다. 특히 섹터A05 그룹은 새로운 악성코드 변형들을 10월 말에서 11월 말까지 지속적으로 제작할 정도로 단기간에 왕성한 활동을 보여주었다.

이 외에 발견된 다른 해킹 그룹의 활동은 현실세계에서 재화로 변환이 가능한 금융정보 탈취를 목적으로 한국과 아르헨티나를 포함한 남미 지역의 금융권을 대상으로 했다.

이 중 한국의 경우에는 암호화폐 거래소와 함께 암호화폐를 보유하고 직접 거래를 진행하는 개인 거래자도 해킹의 대상으로 포함한 것으로 판단된다.

해킹 활동에서 사용하는 기법은 악성코드가 첨부된 스피어 피싱(Spear Phishing) 이메일을 공격 대상에게 전달하는 기법을 활용하고 있어 해킹 기법면에서는 큰 변화가 없다.

이번 11 월에도 총 3 종류의 새로운 한글(HWP) 파일 형태의 악성코드가 발견되었으나, 과거에 활용되었던 악성코드에서 일부 코드만 수정해 다시 활용한 형태로 판단된다.

그러나 섹터A05 그룹에서는 상용 원격 제어 소프트웨어인 팀뷰어(TeamViewer)의 소스코드를 기반으로 제작한 새로운 악성코드가 발견되었으며, 그 동작 방식 역시 팀뷰어 소프트웨어와 동일한 형태로 동작하는 것이 확인 되었다.

이러한 사항을 고려 할 때 방어 전략 차원에서 조직 내부에서 상용 원격 제어 소프트웨어의 활용과 사용 이력을 다시 검토할 필요가 있을 것으로 판단된다고 밝혔다.

이외에도 보고서는 중국 정부 지원 해킹그룹, 러시아 정부 지원 해킹그룹, 인도 정부 지원 해킹그룹, 베트남 정부, 터키 정부 지원 해킹그룹 등에 대해서도 분석 내용을 전달하고 있다.

더불어 라자루스로 알려진 북한 정부 지원 해킹그룹의 최근 국내 활동 현황에 대해서도 리포트하고 있다.

보고서요약본은 데일리시큐 자료실에서 다운로드 가능하며 실제보고서는 NSHC Threat Recon 서비스를 신청하면 받을 수 있다.

6월 27일부터 3일간 국내 정부 기관 및 민간, 사이버 범죄 수사 기관 대상

▲ OSINT 교육 중인 NSHC 허영일 대표
▲ OSINT 교육 중인 NSHC 허영일 대표

NSHC(대표 허영일)는 오는 6월 27일부터 3일간 양재 엘타워에서 국내 정부 기관 및 민간, 사이버 범죄 수사 기관을 대상으로 하는 OSINT(Open Source Intelligence, 공개 정보를 이용한 정보활동) 전문가 과정 교육을 진행한다고 밝혔다.

이번 과정은 지난 1차 교육생들의 요구사항을 반영해 이론과 실습을 통한 실무 능력 중심의 심도있는 내용을 다루기 위해 교육일정을 2일에서 3일짜리 교육으로 한층 업그레이드 하여 선보인다.

사이버 범죄 수사 및 위협 정보 관제 업무 등 현장에서 활용 가능한 기술을 전수한다. 특히 싱가포르, 일본에서 진행했던 다양한 사례를 소개하며, Maltego와 같은 전문화된 위협 분석 도구를 이용해 보안성을 강화하기 위한 방법 등을 제공한다.

주요 교육 내용은 ◇OSINT에 대한 이해 ◇블랙마켓과 딥웹에 대한 모니터링 방법 ◇사이버 범죄자 추적을 위한 Maltego 도구 활용법 ◇침해 사고 분석시 활용할 수 있는 다양한 분석 방법 ◇최신 위협 정보를 활용한 해외의 범죄 수사 활용 사례 분석 및 실습 등이다.

수강생은 이번 과정을 통해 실제 공개 정보를 이용한 기업내 위협 정보를 모니터링하고 필요시 사이버 범죄자를 추적하고 분석할 수 있는 능력을 향상시키고 침해 사고 발생시 관련 기술을 사용하여 침해 사고에 대한 피해를 최소화할 수 있다. 또한 다양한 사례를 통해서 기업과 기관들의 정보보호 인프라 운영 환경을 구축하기 위해서 위협 정보를 활용할 수 있는 기반 지식을 습득 할 수 있다.

허영일 NSHC 대표는 “지속적으로 늘고 있는 사이버 범죄에 대응하기 위해서는 관련 분야에 특화된 정보보호 전문 인력 양성이 시급하다. 현장에 즉시 활용 가능한 기술을 전수하고, 관련 분야의 전문 인력을 확보하는 등 보안 인력 육성에 박차를 가할 계획이다”라며 덧붙여 “이번 교육을 통해서 아직까지 알려지지 않은 중국, 러시아 및 북한의 사이버 테러 집단의 주요 활동과 위협 정보 등을 소개할 예정이다”라고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=35536&page=2&total=270

국내 방산업체, 기간산업, 금융사 등 웹 상 계정노출 심각…해킹의 단초될 수 있어

 

▲ OSINT 정보의 위험성에 대해 설명하고 있는 NSHC 허영일 대표
▲ OSINT 정보의 위험성에 대해 설명하고 있는 NSHC 허영일 대표

정보보호 전문기업 NSHC(대표 허영일)는 12일 양재동 엘타워 엘하우스홀에서 100여 명의 고객 및 관계자를 초청한 가운데 “YOLO, 인생은 한번뿐! 보안도 한번뿐! 방심하지 말자!”란 주제로 제5회 세이프 스퀘어 행사를 개최했다.

이 자리에서 허영일 대표는 ‘어둠의 세계 파헤치기-다크웹, 랜섬웨어, 사이버 공방’을 주제로 발표를 진행했다.

허영일 대표는 “얼마전 인터넷상에서 수집된 정보만을 가지고 특정 국가 공항을 대상으로 사이버 공격이 가능하다는 보여준 바 있다. 구글에 특정 키워드를 입력해 해당 공항의 관리자 페이지를 찾아내고 패스워드도 알아 낼 수 있었다. 이를 통해 공항내 전광판을 마음대로 조정할 수 있고 공항 네트워크를 마비시켜 엄청난 혼란을 야기시킬 수 있다는 것을 해당 공항에 전달한 바 있다”고 밝혔다.

◇국내 방산업체, 금융사, 기간산업체 임직원 정보 유출 심각

▲ 웹상에 노출된 국내 방산업체 현황
▲ 웹상에 노출된 국내 방산업체 현황

또한 “국내 공항도 마찬가지다. 더 심각한 상황일 수 있다. 더불어 국내 방산업체별 이메일 계정 유출 현황도 파악됐다. 인터넷상에 회사 메일을 사용하는 직원들이 있다. 이를 통해 이메일 패스워드를 알아낼 수 있고 피싱메일을 통해 회사내부에 침투해 회사내 기밀정보도 빼내 올 수 있다”며 “방산업체뿐만 아니라 우리나라 발전소 등 기반시설 임직원들의 이메일 정보도 노출된 상태다. 카드사, 증권사 등 금융권 직원들의 이메일 주소와 패스워드도 알아낼 수 있다. PASTBIN에 검색만해도 타깃 기업의 직원 정보와 내부 침투 정보를 획득할 수 있다. 이런 정보를 바로 ‘OSINT’라고 한다. 이런 어둠의 골짜기에 우리가 지켜야 할 데이터가 너무도 많다. NSHC는 이런 정보들을 보호하고자 인텔리전스 서비스를 고객사에 제공하고 있다”고 설명했다.

참고로 ‘OSINT’란 ‘Open Source INTelligence’의 약자로 공개된 출처에서 얻은 정보들을 말한다. 오신트 혹은 오픈소스 인텔리전스 또는 공개정보, 공개된 정보, 공개소스정보, 오픈소스정보 등으로 불리기도 한다. CIA 등 국립정보기관이나 민간정보회사에서 수집하는 정보의 종류는 인간정보(HUMINT, 휴민트), 신호정보(SIGINT, 시긴트), 영상정보(IMINT, 이민트), 측정정보(MASINT, 매신트), 공개출처정보(OSINT, 오신트), 기술정보(TECHINT, 테킨트) 등이 있다.

일반인이 사용하는 인터넷 사이트보다 수면 속에 가려진 어둠의 사이트들이 인터넷 상에는 더욱 많다. 이 어둠의 웹, ‘다크웹’ 속에 우리가 지켜야 할 정보들이 엄청나다는 것이다.

◇정보유출 차단하기 위해 다크웹에 대한 모니터링 필요해

허 대표는 “다크웹에 10만개 이상의 사이트가 존재한다. 마약거래, 무기거래, 신용카드 거래는 물론이고 심지어 청부살인 사이트까지 존재한다. NSHC는 다크웹에 존재하는 데이터를 수집하고 축적된 데이터의 연관성을 찾고 이를 토대로 공격 정보와 지켜야 할 고객 데이터를 뽑아 고객들에게 전달한다. 이를 자동화 하기 위해 딥웹 자동검색시스템을 구축했다”며 “공격자들은 오픈웹이든 다크웹이든 노출된 정보를 토대로 타깃 회사의 정보를 빼내기 위해 다양한 시도들을 하고 있다. 또 제로데이 취약점 공격방법도 높은 가격에 거래되고 있다. 노출된 정보와 제로데이 공격코드로 그들이 목표로 한 타깃을 집요하게 공격하는 것이다. 각별한 주의가 필요하다. 이들의 움직임을 파악하고 대응방안을 마련하기 위해 NSHC RED ALERT팀이 존재한다”고 말했다.

그는 또 효과적인 정보유출 차단을 위해 다크웹(다크넷)에 대한 모니터링을 위해 실시간 OSINT 모니터링 시스템을 구축했다고 전했다. 이를 통해 SNS 및 인터넷상에 올라오는 자료를 모니터링 하고 특정 키워드를 중심으로 직원 정보나 기밀정보에 대한 정보유출 여부를 모니터링 한다고 밝혔다.

허 대표는 NSHC 인텔리전스 서비스에 대해 “국내외 최신 보안 이슈를 수집해 취약점, 악성코드, IoT, 스카다, 기술정보, 보안 업데이트 정보를 제공 하고 있다. 각 주요 보안 관련 뉴스, 업체 뿐만 아니라 SNS를 통해 확산되는 보안 전문가들의 이슈, 공격자들의 관심사도 포함된다. 이슈는 매주 메일을 통해 공유되고 있으며 실시간 타임라인으로 홈페이지에서 보다 빠르게 확인 가능하다. 특히 매주 새롭게 윈도우, 리눅스, 아이폰, 안드로이드, IoT, 스카다 등을 대상으로 하는 랜섬웨어, 금융 악성코드, APT 공격그룹 툴킷 정보 등을 제공하고 있다”고 설명했다.

한편 허 대표는 이 자리에서 해킹 시연도 선보였다. MS오피스 제로데이 취약점을 활용해 타깃 PC를 감염시키고 피싱사이트로 접속을 유도해 금융정보를 빼낼 수 있다는 것을 현장에서 보여줬다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=21769&page=3&total=270