2022-10-01 02:10 (토)
"드래곤플라이 멀웨어, 블랙에너지와 팀스파이 해킹 캠페인과 연관있다"
상태바
"드래곤플라이 멀웨어, 블랙에너지와 팀스파이 해킹 캠페인과 연관있다"
  • hsk 기자
  • 승인 2017.12.21 14:21
이 기사를 공유합니다

0904-14.jpg
시만텍은 지난 9월 6일, 올해 수십개의 에너지 회사를 대상으로 한 드래곤플라이(DragonFly) 2.0 캠페인에 대한 자세한 분석 내용을 발표했다. 공격자는 2014년에 발생한 Dragonfly 캠페인과 같다는 사실이 밝혀졌다.

맥아피가 공개한 추가 분석에 따르면 Dragonfly 작전은 이전의 다른 공격들과 연결되어 있다. 맥아피 랩과 지능형 위협 연구팀은 조사를 통해 해당 공격들이 제약, 재정, 회계 업계를 대상으로 하고 있으며 기술, 전술, 절차 등이 이전의 캠페인들과 유사하다는 것을 확인했다.

맥아피 측은 “잘 설계된 소프트웨어 취약점을 공격하고 백도어 멀웨어를 삽입해, 사용자들이 신뢰성 있는 벤더사로부터 소프트웨어를 다운받는 중이라고 생각하게 만들었다”고 말한다. 한번 타깃 네트워크가 공격당하면, 공격자들은 내부 또는 외부 시스템을 넘나들기 위해 원격 데스크톱 프로토콜을 사용했다. 그들은 제어 서버나 해킹당한 내부 서버로 연결해 작업을 수행했다.

연구원들은 여러가지 백도어와 유틸리티를 사용해 공격자를 관찰하면서 2017년 공격에 사용된 트로이목마가 2013년 7월 공격에도 사용되었다는 것을 발견했다. 이들은 해시 분석을 통해 두가지 모두 헝가리 보안 업체 Crysys의 TeamSpy 악성코드 분석 보고서에서 발견한 것과 동일한 TeamViewer를 포함하고 있다는 것을 알아내 서로를 연관지었다.

TeamSpy 해커들은 NATO와 EU, 프랑스와 벨기에의 여러 연구 교육 기관, 이란에 위치한 전력 회사, 러시아에 위치한 제조 업체 등 공개되지 않은 국가들의 러시아 대사관을 포함한 고위 타깃들을 공격했다. Crysys 연구원은 최근 공격에 사용된 것과 동일한 해시를 언급하며 이를 2011:09:07-09:27:58+01:00에 컴파일된 샘플과 연관지었다.

전문가들은 또한 2017년 샘플이 BlackEnergy 멀웨어와 관련있는 코드 블럭을 포함하고 있다는 것을 발견했다. “자체 제거 코드는 멀웨어에서 일반적이지만, 예시에서 볼 수 있듯이 삭제 명령을 직접 호출하지 않고 배치 파일을 만들어 실행함으로써 구현했다”고 분석 보고서는 말한다.

또한 “비교에 사용한 BlackEnergy 샘플은 2015년 10월 31일에 우크라이나에서 수집했고, BlackEnergy 멀웨어 진화에 대한 포스트에서 언급된 적이 있다 해당 코드는 두 샘플에서 거의 동일하고, 이는 BlackEnergy와 DragonFly의 상관 관계를 보여준다”고 설명한다.

전문가들은 공격자가 개발한 백도어의 코드 변화와 캠페인에서의 코드 재사용에 주목했다. 악의적인 코드는 공격의 세부 사항을 숨기는데 있어 상당히 정교하고, 거짓 플래그를 사용해 속성을 어렵게 만들었다.

★정보보안 대표 미디어 데일리시큐!★