이란 배후 공격자, 통신·여행사 개인정보 수집
상태바
이란 배후 공격자, 통신·여행사 개인정보 수집
  • 김선애 기자
  • 승인 2019.01.30 11:19
  • 댓글 0
이 기사를 공유합니다

파이어아이 추적중인 ‘APT39’, 이란 이익 관련 인사 정보 수집 위해 공격 활동 진행

이란이 배후에 있는 사이버 공격그룹이 통신·여행업계를 대상으로 고객정보를 타깃으로 공격을 벌이고 있다. ‘샤퍼(Chafer)’아 연관돼 있는 것으로 알려진 이 그룹은 통신사, IT 기업, 첨단 기술기업, 그리고 여행사를 대상으로 공격하고 있으며, 전 세계 기업과 개인에게 피해를 입히고 있다.

파이어아이가 ‘APT39’라는 이름을 붙여 추적중인 이들은 광범위한 개인정보 도난에 중점을 두고 있다. 이들은 개인정보를 수집해 타깃 공격을 위한 도구를 개발하는데 목적을 두고 있는 것으로 보인다. 이를 통해 이란의 국가적 우선순위와 관련된 모니터링, 추적, 감시 작전을 펼치고 미래 공격을 대비하기 우한 것으로 분석된다.

이들은 국가 전략산업, 작전상 목적을 위해 사용할 수 있는 데이터와 고객정보를 수집하고 이으며, 정부 기관도 공격 대상으로 하고 있다. 관심 대상의 추적, 감시, 여행 일정 등 개인정보 수집, 통신업체로부터의 고객 데이터 수집 등의 활동을 전개하고 있는 것으로 추정된다.

▲ APT39 공격 사이클

APT39는 맞춤형 공격도구와 함께 공개적으로 구입할 수 있는 도구와 툴을 사용한다. 초기 침해 단계에서는 스피어피싱을 이용하며, 합법적인 웹 서비스로 가장한 도메인, 목표 조직과 관련된 단체를 이용한다. 목표 조직의 취약한 웹서버에 웹쉘을 설치하고 기존에 입수한 합법저인 계정을 이용해 외부 사용자도 활용할 수 있는 아웃룩 웹 액세스 리소스를 해킹한다.

초기 침해에 성공하면 공격 거점을 구축하고 권한 상승 공격을 진행한다. 시위드, 캐시머니, POWBAT 변종 등 맞춤형 백도어를 활용해 타깃 환경에 거점을 구축한다. 권한 상승 단계에서는 윈도우 크리덴셜 에디터나 ProcDump 같은 합법적인 툴 이외에도 미미카츠, Ncrack 등 무료로 공개된 툴을 사용한다. 내부 정찰에는 맞춤형 스크립트와 포트 스캐너인 블루토치를 비롯한 공개형, 맞춤형 툴이 이용된다.

공격 유지와 확산을 위해 원격 데스크톱 프로토콜(RDP), 시큐어 셸(SSH), PsExec, RemCom, xCmdSvc 등을 이용해 측면이동하며, 레드트립, 핑크트립, 블루트립 같은 맞춤형 툴을 이용해감염된 호스트 사이에서 SOCKS5 프록시를 생성시킨다. RDP는 측면이동 뿐만 아니라 활동 유지를 위한 프로토콜로도 활용한다. 임무 완수를 위해 APT39는 훔친 데이터를 WinRAR 또는 7-Zip 등의 압축 툴로 압축·보관한다.

APT39는 네트워크 보안업체들의 탐지를 우외하기 위해 운영 보안을 이용한다. 예를 들면 바이러스 탐지 기능을 막기 위해 업데이트된 미미카츠의 수정 버전을 이용하고 있으며, 초기 액세스 후 탐지를 피하기 위해 APT39가 침해된 타겟의 환경 외부에서 계정 추출한 사례가 발견됐다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.