2024-03-29 15:35 (금)
Tick APT 해킹그룹, 한국 방위산업체가 만든 보안USB 타깃으로 공격
상태바
Tick APT 해킹그룹, 한국 방위산업체가 만든 보안USB 타깃으로 공격
  • hsk 기자
  • 승인 2018.06.27 22:07
이 기사를 공유합니다

Tick APT 그룹, 에어갭 시스템 손상시켜 공격...일본과 한국 제로데이 취약점 발견하는 능력도 보유

hacker-1952027_640.jpg
중국의 ‘Tick’APT 해킹그룹이 한국 방위산업체가 만든 특정 유형의 보안 USB 드라이브를 타깃으로 공격활동을 해 온 사실이 해외 보안기업에 의해 발견됐다.

Bronze Butler로도 불리는 Tick APT 그룹은 최소 10년간 활동해 왔고, 2016년에 시만텍에 의해 처음 발견되었다. 전문가들은 이들이 중국과 연관되어 있고, 일본과 한국의 특정 지역에서 사용하는 소프트웨어의 제로데이 취약점을 발견하는 능력을 보유하고 있다고 판단했다.

해당 그룹은 에어갭 시스템을 손상시켜 한국 방위산업체가 만든 보안 USB 드라이브를 타깃으로 해왔다. 전문가들은 이들 그룹이 주로 일본과 한국을 대상으로 하지만 러시아, 싱가폴, 중국 조직도 타깃에 포함되어 있다고 보고했다. 또한 이들은 Minzen, Daserk, Datper, HomamDownloader 등 다양한 독점 도구, 사용자 지정 멀웨어를 사용했다.

보안 USB 드라이브의 무기화는 흔하지 않은 공격 기술로, 에어갭 시스템으로 확산이 가능하다. Tick APT가 실시한 최근 공격에 사용된 악성 코드는 윈도우 XP 또는 윈도우 서버 2003을 실행하는 시스템을 대상으로 개발된 것으로 보인다.

전문가들은 이 멀웨어가 정부 및 방위 환경에서 자주 사용되는 에어갭 시스템에서 실행되는 구형의 MS 윈도우 버전을 감염시킬 목적으로 개발되었다고 말하며, 해당 멀웨어가 어떤 캠페인의 일부라고 생각되지는 않는다고 설명했다. 해커가 보안 USB 모델을 손상시켜 여러가지 감염된 장치에 악성코드를 설치했고, 이는 한국의 ITSCC에 의해 안전하다고 인증 받았다.

이 APT 그룹은 또한 SymonLoader라고 불리는 악성코드를 개발했는데, SymonLoader는 구형 윈도우 시스템에 설치되면 특정 USB 드라이브를 찾는다. 이 악성코드는 공격자가 USB 드라이브로부터 멀웨어를 로드하고 실행하는데 사용되었다. 당시 공격자가 USB 드라이브를 어떻게 손상시켰는지는 밝혀지지 않았다. 또한 이러한 장치를 제조하는 공급망에서 어떤 타협이 있었는지, 아니면 제조 후에 사회 공학과 같은 다른 수단을 이용해 배포된 것인지 등은 알 수 없었다.

조사 진행 중이던 2018년 1월 21일, 연구원들이 흥미로운 악성코드 샘플을 발견했다. 일본어 GO 게임의 트로이목마 버전으로 악성코드를 심는 역할을 수행한다. 트로이목마 일본어 게임의 셸 코드가 한국어 프로그램에서 발견된 것과 동일했기 때문에 전문가들은 이를 Tick 그룹과 연관시켰다.

연구원은 “공격자는 알 수 없는 실행파일을 암호화하고, 보안 USB 장치에 숨긴다. 숨겨진 데이터는 Readfile()과 같은 논리 파일 조작 API를 통해 액세스할 수 없다. 대신 SymonLoader는 논리 블록 주소 지정(Logical Block Address) 및 SCSI 명령을 사용해 이동식 드라이브의 특정 예상 위치에서 물리적으로 데이터를 읽는다”고 설명한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★