카스퍼스키(Kaspersky), 대한민국 방위 산업체를 노린 신종 APT 공격 조직 "Icefog(Fucobha)" 분석 리포트

세계적인 러시아 보안회사 카스퍼스키(Kaspersky)가 2011년부터 일본과 대한민국의 정부출연연구소, 방위산업체, 조선해양사,
통신사 등 한국의 주요기관을 대상으로 한 APT 공격을 시도한 소규모 그룹인 "Icdfog"에 대한 분석 리포트를 공개하였다.

관련 된 정보는 아래와 같다.

• [보안뉴스] 대한민국 방위 산업체 노린 신종 사이버 스파이 활동 'Icefog' 발견

• [KISA] 보안 공지, 사이버공격 Icefog 관련 조치 안내

• [카스퍼스키랩] 대한민국 방위 산업체를 노린 신종 사이버 스파이 활동 'Icefog' 발견

저번 APT공격(Kimsuky Operation) 분석보고서도 정말 놀랐지만, 카스퍼스키의 능력은 끝이 없어 보이는다 ㅠㅠ
부럽구려~!!

• 카스퍼스키(Kaspersky), 북한 소행 APT 공격(Kimsuky Operation) 분석 리포트

"Icefog"에 대한 상세한 분석보고서는 아래 카스퍼스키 블로그에서 확인 할 수 있다

- [분석 리포트] "IceFog" APT 분석

원본링크 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=792

요약

 

"IceFog"는 2011년부터 일본과 대한민국의 정부출연연구소, 방위산업체, 조선해양사, 통신사 및 고도의 기술을 보유한 회사 등을 타겟으로 활동하고 있는 ATP 공격으로, 소규모 사이버 용병 그룹이 공격에 참여하였다.

 

"IceFog"라는 이름은 C&C 서버 중 하나의 이름에 사용된 문자열에서 가져왔으며, C&C 소프트웨어의 이름은 " 끝이 뾰족한 칼"을 의미하는 중국어 "첨도(尖刀, Dagger)"이다.

 

"IceFog" 백도어 셋("Fucobha"로도 알려짐)은 대화형 스파이 도구로서 공격자에 의해 직접 제어되는데, 윈도우 버전과 Mac OS X 버전이 모두 존재한다. 최근 버전의 IceFog는 자동으로 데이터를 탈취하는 대신에, 감염 시스템에 상주하면서 공격자의 조작에 의해 데이터를 탈취한다.

 

"IceFog" 공격이 이루어지는 동안, 데이터 탈취 및 측면 동작을 위해 별개의 다수 악성 도구와 백도어가 감염 시스템에 설치된다.

본 문서는 "IceFog"의 백도어, 기타 악성 도구에 대한 설명을 치료 관련 정보와 함께 포함하고 있다.

 

공격 분석

 

IceFog APT는 스피어피싱 이메일이 이용되는데, 이메일에 첨부된 악성코드를 열거나 악성 웹사이트를 방문하도록 유도한다.

 

우리의 조사가 이루어진 동안, 다음과 같이 스피어피싱 이메일을 이용하는 다수의 익스플로잇을 발견하였다:

 

• CVE-2012-1856 (“Tran Duy Linh” (http://blog.malwaretracker.com/2013/06/tomato-garden-campaign-possible.html 참조) 익스플로잇, MS12-060 security bulletin으로 패치)
• CVE-2012-0158 (MSCOMCTL.OCX 원격 코드 실행 취약점, MS12-027 security bulletin으로 패치)
• 자바 익스플로잇으로 웹 링크 (CVE-2013-0422 및 CVE-2012-1723)
• HLP 익스플로잇 및 기능 악용
• HWP 익스플로잇

 

첫 번째와 두 번째 취약점은 워드나 엑셀 등 MS 오피스 문서를 통해 공격이 이루어지는데, 백도어를 설치하고 실행한 후 가짜의 미끼 문서를 보여준다. 현재 이 같은 동작은 대부분의 공격자에 의해 공통적으로 사용된다.

 

 

스피어피싱 공격 - MS 오피스 익스플로잇

공격 대상 시스템은 워드(.doc) 또는 엑셀(.xls) 파일이 첨부된 이메일을 수신한다.

 

예 'A'

 

첨부 파일은 CVE-2012-1856 취약점을 이용하는 표준형의 "Tran Duy Linh" 익스플로잇이며, 성공적으로 실행되면 익스플로잇은 노출이 심한 여성의 사진을 유인용 미끼 문서로 표시한다.

 

예 'B'

 

CVE-2012-0158 취약점을 이용하는 익스플로잇이며, 성공적으로 실행되면 익스플로잇은 "지역 주권 개혁을 위한 작은 열정"을 뜻하는 일본어 제목의 가짜 미끼 문서를 표시한다.

 

예 'C'

 

CVE-2012-0158 취약점을 이용하는 익스플로잇이며, 일본어로 작성된 비지니스 이메일이 첨부 파일과 함께 전달된다.

 

 

스피어피싱 공격 - JAVA 익스플로잇

 

MS 오피스 익스플로잇과 함께, IceFog 공격자는 JAVA 익스플로잇을 사용한 온라인 공격도 시도한다. 예를 들어, 공격에 사용된 악성 웹사이트 중 하나가 "money.cnnpolice.com"이다. JAVA 익스플로잇은 IceFog 드로퍼를 다음의 URL에서 다운로드하여 실행한다:

 

www.securimalware.net/info/update.exe

 

현재 이 사이트는 카스퍼스키랩의 SINKHOLE로 사용되고 있다.

 

"update.exe"는 표준형의 IceFog 드로퍼이며, 드로퍼가 실행되면 IceFog 악성코드인 "sxs.dll"을 IE 폴더(보통 "C:\Program Files\Internet Explorer")에 설치한다.

 

제어 명령을 수신하기 위해 악성코드 DLL은 "DLL 탐색 순서 수정"으로 알려진 기술을 사용하는데, IE는 윈도우 시스템 폴더가 아닌 자신의 폴더에서 해당 DLL을 로드하게 된다.

 

이 후, 백도어는 피해 시스템의 데이터를 www.setchon.com/jd/upload.aspx에 위치한 C&C 서버로 전송한다.

 

 

스피어피싱 공격 - HLP 벡터

 

아울러, IceFog 공격자는 공격 대상 시스템을 감염시키기 위해 HLP 파일을 사용한다. HLP 파일은 익스플로잇을 포함하지 않지만, 윈도우의 특정 기능을 악용해 악성코드를 설치한다.

 

IceFog만이 공격 툴킷의 하나로 HLP 익스플로잇을 사용하는 것은 아니라는 점은 매우 흥미롭다.  매우 효과적인 APT로 잘 알려진 "Comments Crew" / APT1 은 다른 덜 알려진 도구와 함께 HLP 트릭을 자신의 툴킷에 포함하고 있다.

 

이 HLP 형식은 오래된 것으로 "Winhelp"로 알려져 있으며 비스타와 윈도우7까지 지원되는데, 마이크로소프트는 기술의 단계적 적용에 도움을 주기 위해 Winhelp32.exe 컴퍼넌트를 별도로 제공하고 있다. 대부분의 경우, Winhelp 악용을 선택하는 공격자는 이미 어떤 버전의 운영체제 시스템을 공격하는지에 대한 아이디어를 가지고 있음을 알려준다.

 

매우 보수적인 관점에서, 이와 같이 구현한 HLP 파일은 익스플로잇이 아니지만, 대신에 잘못 만들어진 윈도 도움말 기능의 악용은 문제를 야기한다. 이 파일 형식은 코드와 데이터가 섞여 있기 때문에, IceFog 공격자는 자신만의 매크로와 함께 HLP 파일을 악용할 수 있다.

 

자신만의 매크로에 대한 상세한 설명과 Winhelp 프로젝트에 해당 매크로를 구축하는 것에 대한 위험은 다음의 URL에 설명되어 있다:

 

http://reversemode.com/index2.php?option=com_content&do_pdf=1&id=4

 

 

스피어피싱 공격 - HWP 벡터

 

조사하는 동안, IceFog가 HWP 파일도 이용하여 공격을 시도한다는 것을 발견했다. 그것들은 성공적으로 대상 시스템을 공격하고 감염시켰으며, 문서의 내용은 공격 대상의 관심을 끌기 위해 다음과 같이 대북 관계와 관련이 있는 것들이 포함되어 있다:

 

 

이 익스플로잇의 감염을 예방하기 위해서 HWP 사용자는 최신 버전의 HWP를 설치하여 사용해야 한다.

 

 

공격자의 공격 방법

 

공격은 다수의 알려진 취약점(이미 패치가 존재하는)을 활용하는 스피어피싱 이메일을 통해 시작된다. 일단 성공적으로 시스템을 감염시키면 공격자는 감염 시스템의 특성을 파악하고 확인하기 위해 몇 가지 기본적 기능을 수행한다:

 

• "내 문서"와 "바탕 화면" 등 디스크 내 폴더 목록들을 가져온다.
• 어뎁터 목록과 IP 구성을 가져온다.
• 감염 시스템과 시스템이 속한 네트워크 정보를 가져온다.

 

감염시스템이 "실제" 시스템이면 다음을 포함하는 추가적인 소프트웨어를 배포하며, "가상"머신이나 "가짜" 시스템이면 작업을 수행하지 않는다:

 

• 통신을 위해 새로운 프로토콜을 사용하는 유형 "2" 백도어
• 다음과 같은 측면 동작 도구:
  • 패스워드와 해쉬 덤프 도구
  • IE에 저장된 패스워드 덤프 도구
  • 아웃룩 이메일 계정과 패스워드 덤프 도구
  • 디버깅 도구
  • 탈취한 데이터를 압축하기 위한 적당한 "RAR" 프로그램

 

주요 탈취 데이터는 다음과 같다:

 

• 윈도우 주소록, .WAB 파일
• HWP, XLS 및 DOC 파일을 포함하는 문서 파일
• 사용자 계정 자격 정보

 

탈취한 정보의 크기가 클 경우에는 WinRAR나 CABARC 등으로 분할 압축한 후 각각 C&C 서버로 전송한다.

 

 

백도어 정보

 

IceFog 백도어의 몇가지 알려진 변종이 존재하는데, 다음과 같다:

 

• 오래된 2011 IceFog - 탈취한 데이터를 이메일로 전송; 이 버전은 2011년에 일본 의회를 대상으로 한 공격에 사용되었다.
• 유형 "1"의 보통 IceFog - C&C 서버와 상호 동작
• 유형 "2" IceFog - 공격자로부터의 명령을 다른 기기로 우회하는 스크립트 기반의 프락시 서버와 상호 동작
• 유형 "3" IceFog - 이 변종의 샘플을 보유하고 있지 않지만 기존과 다른 통신 방법을 사용하는 C&C를 발견; 이 형식의 악성코드 감염 추정
• 유형 "4" IceFog - 유형 "3"과 동일한 상황
• IceFog-NG - TCP 포트 5600을 통해 직접 통신

 

또한,  2012년 말에 IceFog 공격자는 IceFog의 Mac OS X 버전을 실험적으로 사용했다. 이 특별한 버전의 악성코드는 중국의 BBS 포럼에서 발견되었으며, 그래픽 애플리케이션으로 위장되었다. IceFog의 맥버전인 MacFog의 동작은 Win32 버전과 매우 유사하다.

 

 

측면 동작 도구:

 

공격자는 C&C 서버를 통해 공격 대상에 배포하는 다수의 측면 동작 도구에 의존하고 있는데, 우리가 관찰한 바에 따르면, 측면 동작 도구는 윈도우 사용자 자격 증명 덤프, 아웃룩과 IE의 암호를 저장, 시스템 정보의 수집 등 다양한 기능을 포함하고 있다.

 

 

 

C&C 서버

 

분석 기간 동안, 우리는 다수의 IceFog C&C 서버를 관찰했다. 그들 대부분이 공유된 호스팅 플랫폼에 있지만, 공격자에게 중요성이 크다고 판단한 일부 C&C 서버는 전용 호스팅을 사용하고 있다.

 

아마도 IceFog C&C의 가장 중요한 측면 중 하나는 "치고 빠지기(hit and run)"이다. 공격자는 사용할 악성코드 샘플을 제작한 후 C&C를 설정한다. 이후 대상 시스템을 공격하여 감염시킨 후 데이터를 탈취하기 전에 감염 시스템과 통신한다. 공유 호스팅은 보통 한 두 달에 만료되기 때문에 C&C는 사라진다.

 

공격의 성격도 매우 집중적이다 - 대부분 공격자는 이미 그들이 원하는 것을 알고 있었으며, 탈취 대상 파일명을 신속하게 식별하였고, 압축되어 C&C에 전송한 후 감염 시스템은 버려졌다.

 

C&C 서버의 이름을 기반으로, 우리는 2011-2013 사이에 활성화되었던 여러가지 IceFog 공격 활동을 식별할 수 있었다.

 

 

C&C 서버 기반구조

 

우리는 IceFog C&C 서버의 네 가지 유형인 유형 "1", "2", "3" 및 유형 "4"를 확인했다. 또한, 윈도우 바탕 화면 애플리케이션으로 실행되며 IceFog-NG에 사용되는 C&C의 다섯 번째 독립적인 유형도 존재했다.

 

유형 "1" C&C 서버는 공격자가 직접 웹브라우저를 통해 피해자를 제어할 수 있는 전체 웹 백엔드를 사용한다. 유형 "1" C2 백엔드는 ASP.NET으로 작성되었다.

 

유형 "2" C&C 서버 백엔드는 공격자와 감염 시스템 사이의 커스텀 프락시이며 가상으로 동작한다. 그것은 ASP로 작성되었으며 매우 단순한데, 공격자의 활동을 은폐하는 등에 더 효과적이다. C2의 두 번째 유형은 아마도 공격자의 PC에서 직접 실행되는 제어 도구와 함께 작동한다.

 

유형 "3" C&C 서버("스타윙즈"와 "디즈니랜드" 공격 활동에 사용)는 실험적이며, 보기 및 업데이트 등 두 가지 기본 기능만을 제공한다. 아쉽게도 정확한 동작은 알 수 없었고 이를 사용하는 IceFog 악성 코드도 찾을 수 없었다.

 

유형은 "4" C&C 서버는 도메인 "pinganw.org"의 SINKHOLE을 통해 확인되었다(알려진 C2의 URL - www.pinganw.org/sugers/upfile.asp). 유형 "3"과 같이, 정확한 동작은 알 수 없었고 이를 사용하는 IceFog 악성코드도 찾을 수 없었다.

 

IceFog-NG C&C 서버는 웹 서버가 필요하지 않은 윈도우 바탕 화면용 애플리케이션이며, 기본적으로 포트 5600을 사용하는 독립적인 TCP 서버로 작동한다.

 

우리의 분석은 가장 대중적이고 공격에 널리 사용된 유형 "1" C&C 서버에 초점을 맞추어 이루어졌으며, ASP.NET으로 작성된 유형 "1" C2 인터페이스와 그 구조는 다음과 같다:

 

 

 

아마도 가장 흥미로운 부분은, 유형 "1" C&C 패널이 감염 시스템과 공격자 사이의 상호 동작 전체 기록을 유지하고 있다는 것이며, "logs" 디렉토리에 암호화 된 로그 파일로 보관된다. 그뿐만 아니라, 서버는 각 감염 시스템 전체 상호 동작 로그 및 명령 실행 결과를 유지한다.

 

 

윈도우 시스템에서 USB 저장장치가 연결되었을  때 해당 드라이브의 파일들을 C2에 업로드하기 위해 해당 파일을 "c:\temp\mslog"로 복사하는 예를 다음에서 볼 수 있다:

 

 

 

 

또 다른 예로, 유형 "2" 백도어를 업로드하고 유형 "1" 감염 앞 부분에서 실행하는 것을 볼 수 있다:

 

 

 

 
 
감염 자료 및 통계

 

SINKHOLE 정보

 

분석 기간 동안, 우리는 공격자가 사용하는 13개 도메인을 SINKHOLE로 관리하여 분석에 활용하였다:

 

• spekosoft.com
• kechospital.com
• unikorean.com
• pasakosoft.net
• chinauswatch.net
• msvistastar.com
• defenseasia.net
• pinganw.org
• kevinsw.net
• avatime.net
• shinebay.net
• securimalware.net - 스피어피싱 공격에 사용됨
• appst0re.net - MacFog의 C&C

 

모든 도메인은 카스퍼스키랩의 SINKHOLE 서버인 95.211.172.143으로 리다이렉트되었으며,  모니터링 기간 동안, 우리는 대한민국, 일본, 대만, 독일 및 기타 국가의 다수 피해자들을 관찰할 수 있었다.

 

감염 시스템의 통계 정보는 다음과 같다:

 

 

 

 

 

 

윈도우 기반 시스템의 경우, 우리의 SINKHOLE은 6개 국가에서 거의 200여개 IP의 연결을 수신했다.  전반적으로, 오래전에 감염된 컴퓨터, 특히 어떤 이유로 아직 치료되지 않은 감염의 일부만의 뷰를 제공하는 것을 주목해야 한다. 공격자들은 SINKHOLE로 사용하기 어려운 새로운 C&C 도메인을 사용하기 때문에 새로운 공격은 추적하기가 어렵다.

 

또 다른 중요한 점은 피해자의 지리적 분포에 관한 것이다. 우리는 중국에서 오는 많은 연결을 볼 수 있지만, 이것은 표적 공격의 피해자가 있다는 것을 의미하지는 않는다. C&C 표적 공격에 사용되는 서버,  스피어피싱 사례 및 분석 기간 동안 수집된 기타 데이터를 분석 등을 고려하면, IceFog 공격 활동의 주요 목표는 대한민국과 일본에 있다고 생각한다.

 

특히, 대한민국의 경우, 공격 대상 시스템이 국가 기간 산업체, 군용 장비를 제조, 납품하는 방위 산업체, 기타 국방 관련 기관 등에 집중되어 있다는 것은 매우 주목할 만한 점이다.

 

 

 

결론

 

본 보고서는 대한민국과 일본을 타겟으로 한  작은 APT 그룹인 "IceFog"에 대해 설명하고 있다. 이 활동은 2011년에 시작되어 매년 그 크기와 범위가 증가한 것으로 나타난다. 대한민국의 감염 시스템 정보를 기반으로 분석해 보면, 공격자는 다음과 같은 분야에 관심을 가지고 있는 것으로 나타난다:

 

• 국방 관련 산업
• 국가 기간 산업
• 정책 연구 기관
• 기타 관련 전문가

 

공격의 복잡성이 상대적으로 부족함에도 불구하고, 공격이 성공적으로 이루어진 점을 보면, 대한민국 내 해당 분야에 매우 많은 수의 감염 시스템이 존재한다고 추측할 수 있다.

 

IceFog 공격자는 윈도우 뿐만 아니라 Mac OS X 백도어도 자신의 수하에 두고 있다. Mac OS X 백도어는 현재 치료되지 않고 남아 있을 가능성이 크기 때문에 세계 수백대의 시스템이 감염되어 있을 것으로 추측된다.

 

"치고 빠지기" 동작은 흔하지 않은 공격 형태 중 하나이다. 보통, 피해 시스템은 몇 달 또는 심지어 수년 동안 감염된 상태를 유지한채 데이터가 계속 탈취되는 것에 반해, IceFog 공격자는 감염 시스템에서 필요한 정보 만을 탈취하면 공격을 중단한다.

 

지난 몇 년 동안, 우리는 꽤 많은 분야 모든 유형을 타격하는 APT 공격이 크게 증가했음을 관찰했다. 이는, 기업 사이버 스파이와 중요한 정보에 대한 관심이 증가했음을 할 수 있다.

 

미래에는 현재 사회의 "사이버 용병"의 한 종류로, "치고 빠지기" 형태의 공격을 사용하는 그룹이 많아질 것으로 우리는 예측하고 있다.

 

이러한 형태의 공격으로부터 안전하게 데이터를 보호하기 위한 권장 사항은 다음과 같다:

 

• 최신 버전의 Java로 업데이트 하거나, 이를 사용하지 않을 경우에는 삭제한다.
• 마이크로소프트 윈도우와 MS 오피스는 최신 버전으로 업데이트한다.
• 어도비 리더와 같은 서드 파티 소프트웨어들을 업데이트한다.
• 마이크로소프트의 IE보다 개발과 패치 주기가 빠른 구글 크롬과 같은 보안 브라우저를 사용한다.
• 링크를 클릭하거나 알 수 없는 사람으로부터 받은 첨부 파일을 열 때 주의한다.

 

지금까지, IceFog 그룹에 의한 제로 데이 취약점의 사용이 관찰되지는 않았다; 이의 방어를 위해 패치가 도움이 되지는 않겠지만, AEP(Automatic Exploit Prevention) 및 DefaultDeny 같은 기술은 매우 효과적일 수 있다.