2024-03-29 03:25 (금)
APT 공격조직 ‘OceanLotus’의 3년간 사이버 공격 분석 리포트 공개
상태바
APT 공격조직 ‘OceanLotus’의 3년간 사이버 공격 분석 리포트 공개
  • 길민권 기자
  • 승인 2017.11.16 13:21
이 기사를 공유합니다

스피어피싱, 워터링공격 등과 여러가지 사회공학적 기법 통해 공격 시도

2012년부터, 해외 해커조직으로부터 중국의 정부기관, 연구기관, 해양관련 기관, 항공기업 등 중요 기업들이 조직적이고 계획적인 공격을 받았다. 이 공격조직을 Ocean Lotus라 명명한다. 이 조직에 대한 상세 분석 리포트가 공개됐다. 리포트는 중국어로 돼 있으며 자료는 데일리시큐 자료실에서 다운로드 가능하다.

이 조직은 스피어피싱, 워터링공격 등의 방법과 여러가지 사회공학적 기법을 통해 공격을 시도했으며, 중국의 공격 대상자들에게 특정 악성코드를 유포하여 일부 정부부처의 사람들을 몰래 모니터링했을 뿐만 아니라 아웃소싱 업체 및 업계 전문가들의 컴퓨터 시스템에서 관련자료 및 기밀문서들을 탈취했다.

현재까지 수집된 OceanLotus의 악성코드 샘플은 100여개가 넘으며 감염자 분포는 중국 내 29개 성 및 행정구역이며 중국 외 지역은 36개 국으로 확인되었다. 악성코드 감염자 중 92.3%가 중국에 있는 사용자 들 이였으며 북경과 천진이 감염자가 제일 많았다.

이 악성코드는 자신을 숨기기 위해 최소 6개의 국가에 C&C 서버를 등록하였으며, 35개의 서버 도메인 네임을 사용하였으며, 관련 서버의 IP주소는 19개를 갖고 있었으며, 서버는 총 13개 이상의 각기 다른 국가에 설치했다.

2014년 2월 이후에, OceanLotus의 공격은 활발히 이루어졌으며, 2014년 5월 대규모의 스피어 피싱 공격을 감행하였습니다. 그결과 대량의 감염자가 발생했다. 그리고 5월, 9월 및 2015년 1월에도 이 조직은 중국의 여러 정부기관, 연구기관 및 외교기업의 홈페이지를 변조하거나 악성코드를 심어 목표성이 명확한 워터링 홀 공격을 진행했다. OceanLotus는 4개의 각기 다른 악성코드를 사용한 것으로 조사됐다.

초반에는 OceanLotus의 악성코드 제작 기술은 별로 높지 않았고 복잡하지도 않아 백신에 쉽게 탐지되었다. 하지만 2014년 이후, OceanLotus의 악성코드는 문서파일 위장, 랜덤 암호화 및 자가삭제 등의 복잡한 기술들을 이용해 백신 탐지를 어렵게 하려고 하고 있다. 또한 2014년 11월 이후에 OceanLotus 악성코드는 원격 컨트롤 기술을 사용해 그 위험성이 매우 높아졌으며, 해당 악성코드에 대한 탐지도 더 어려워졌다.

OceanLotus 조직의 공격주기는 3년 이상 지속됐고 공격의 대상이 명확하며 공격의 기술난이도가 높고 사회공학적 기법을 잘 사용하는 것으로 확인되었다. 즉 이 조직은 일반 해커들이 아니며 해외 정부의 지원을 받는 높은 조직력과 전문력을 겸비한 해커 조직일 가능성이 크다.

이들의 공격 내용을 살펴보면 다음과 같다.

◇2014년 4월=OcenLotus 조직과 관련된 악성코드 처음 확인. OceanLotus조직이 처음으로 공격 활동을 시작한 년도이지만, 그 후 2년동안 OceanLotus는 별다른 활동이 없었다.

◇2014년 2월=OceanLotus는 스피어피싱의 방법으로 중국 목표대상들을 공격했다. OceanLotus가 공격을 다시 재개한 시점이며, 이후 14개월 동안 중국의 각기 다른 여러 목표들을 대상으로 끊임없이 공격을 진행했다.

◇2014년 5월=OceanLotus는 중국 내 어떤 권위있는 해양연구기구에 대규모의 스피어 피싱 공격을 진행했으며, 지금까지 14개월 중 가장 규모가 큰 스피어피싱 공격이었다. 또한 어떤 해양건설기업의 홈페이지를 변조해 악성코드를 심어 대규모 워터링홀 공격을 진행했다.

◇2014년 6월=OceanLotus는 해양산업자원관련기구에 대규모의 스피어피싱 공격을 진행했다.

◇2014년 9월=OceanLotus는 중국해역건설관련업계에 2차로 대규모의 워터링홀 공격을 진행.

◇2014년 11월=OceanLotus는 기존의 악성코드에서 더 공격적이고 자가숨김 기능을 가진 원격조종 악성코드로 대규모 업그레이드 했으며 중국을 타깃으로 한 공격을 지속했다.

◇2015년 1월 19일=OceanLotus는 중국정부의 모 해양산업기구의 홈페이지를 변조해, 3차 대규모의 워터링홀 공격을 진행했다.

OceanLotus 조직의 공격방법은 다음과 같다.

OceanLotus는 스피어피싱과 워터링홀 두 가지 공격방법을 이용했다.

▲ OceanLotus 조직의 워터일홀 공격 개요. 이스트시큐리티 제공.
▲ OceanLotus 조직의 워터일홀 공격 개요. 이스트시큐리티 제공.
◇워터링홀=공격 피해를 입은 정황으로 보았을 때 스피어피싱 공격은 58.6%를 차지하고, 워터링 홀 공격은 41.4%를 차지하는 것으로 나타났다.

◇도메인 변경=공격자들은 자신들의 신분을 숨기기 위해 지속적으로 서버와 C&C 서버의 도메인과 IP를 변경했다. 통계적으로 보았을 때, 지난 3년간, C2서버로 사용된 도메인은 35개이며, 관련 서버 IP주소는 19개로 밝혀졌다. 또한 대부분의 도메인들은 후이즈(whois) 정보 숨기기 설정을 켜놓아 추적을 어렵게 했다.

공격 재개시점과 관련 도메인 통계를 기반으로, 시간 순서대로 도메인을 나열해 보았다. 시간적으로 보았을 때, 2014년 2월부터 2014년 4월까지 대량의 새로운 도메인 신청이 이루어 진 것으로 확인되었다. 보다 상세한 내용은 이스트시큐리티 블로그를 참조하면 된다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★