> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
이란 배후 공격자, 통신·여행사 개인정보 수집
파이어아이 추적중인 ‘APT39’, 이란 이익 관련 인사 정보 수집 위해 공격 활동 진행
2019년 01월 30일 11:19:14 김선애 기자 iyamm@datanet.co.kr

이란이 배후에 있는 사이버 공격그룹이 통신·여행업계를 대상으로 고객정보를 타깃으로 공격을 벌이고 있다. ‘샤퍼(Chafer)’아 연관돼 있는 것으로 알려진 이 그룹은 통신사, IT 기업, 첨단 기술기업, 그리고 여행사를 대상으로 공격하고 있으며, 전 세계 기업과 개인에게 피해를 입히고 있다.

파이어아이가 ‘APT39’라는 이름을 붙여 추적중인 이들은 광범위한 개인정보 도난에 중점을 두고 있다. 이들은 개인정보를 수집해 타깃 공격을 위한 도구를 개발하는데 목적을 두고 있는 것으로 보인다. 이를 통해 이란의 국가적 우선순위와 관련된 모니터링, 추적, 감시 작전을 펼치고 미래 공격을 대비하기 우한 것으로 분석된다.

이들은 국가 전략산업, 작전상 목적을 위해 사용할 수 있는 데이터와 고객정보를 수집하고 이으며, 정부 기관도 공격 대상으로 하고 있다. 관심 대상의 추적, 감시, 여행 일정 등 개인정보 수집, 통신업체로부터의 고객 데이터 수집 등의 활동을 전개하고 있는 것으로 추정된다.

   

▲ APT39 공격 사이클

APT39는 맞춤형 공격도구와 함께 공개적으로 구입할 수 있는 도구와 툴을 사용한다. 초기 침해 단계에서는 스피어피싱을 이용하며, 합법적인 웹 서비스로 가장한 도메인, 목표 조직과 관련된 단체를 이용한다. 목표 조직의 취약한 웹서버에 웹쉘을 설치하고 기존에 입수한 합법저인 계정을 이용해 외부 사용자도 활용할 수 있는 아웃룩 웹 액세스 리소스를 해킹한다.

초기 침해에 성공하면 공격 거점을 구축하고 권한 상승 공격을 진행한다. 시위드, 캐시머니, POWBAT 변종 등 맞춤형 백도어를 활용해 타깃 환경에 거점을 구축한다. 권한 상승 단계에서는 윈도우 크리덴셜 에디터나 ProcDump 같은 합법적인 툴 이외에도 미미카츠, Ncrack 등 무료로 공개된 툴을 사용한다. 내부 정찰에는 맞춤형 스크립트와 포트 스캐너인 블루토치를 비롯한 공개형, 맞춤형 툴이 이용된다.

공격 유지와 확산을 위해 원격 데스크톱 프로토콜(RDP), 시큐어 셸(SSH), PsExec, RemCom, xCmdSvc 등을 이용해 측면이동하며, 레드트립, 핑크트립, 블루트립 같은 맞춤형 툴을 이용해감염된 호스트 사이에서 SOCKS5 프록시를 생성시킨다. RDP는 측면이동 뿐만 아니라 활동 유지를 위한 프로토콜로도 활용한다. 임무 완수를 위해 APT39는 훔친 데이터를 WinRAR 또는 7-Zip 등의 압축 툴로 압축·보관한다.

APT39는 네트워크 보안업체들의 탐지를 우외하기 위해 운영 보안을 이용한다. 예를 들면 바이러스 탐지 기능을 막기 위해 업데이트된 미미카츠의 수정 버전을 이용하고 있으며, 초기 액세스 후 탐지를 피하기 위해 APT39가 침해된 타겟의 환경 외부에서 계정 추출한 사례가 발견됐다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이란, 파이어아이, APT39, 개인정보, APT, 스피어피싱, 개인정보 유출, 사이버스파이
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr