[2019.10.19] 한국 노린 사이버 정찰 캠페인, 오션설트 발견

한국 노린 사이버 정찰 캠페인, 오션설트 발견

https://www.boannews.com/media/view.asp?idx=73817&page=1&kind=1

[1단계: 한국 대학 대상]

5월 18일경. 한국 이름, 주소, 이메이 주소 등의 재학생 혹은 다수의 교육기관 졸업생의 신상 정보 리스트가 있는 엑셀파일.

이 엑섹파일을 열면 Oceansalt 임플란트가 설치됨. 코드는 www.[redacted].kr/admin/data/member/1/log.php 에서 다운받아 V3UI.exe 파일로 실행하도록 함.

이용파일형식: MS Word, Excel file

[2단계: 한국 주요 공공시설 대상] 

이러한 임플란트가 한국의 공식 웹사이트에서 호스팅 되어있는 것을 발견함: 음악 교사 단체 웹사이트

웹페이지는 악성 VBA 스크립트(문서를 다운받거나, 열시 Visaul Basic macros로 통신, 다운로드, 설치가 가능함) 내재된 2개의 엑셀파일을 다운받게 만드는 PHP 페이지를 호스팅함. 

1단계 공격당시 맥아피에 신고된 악용URL:

hxxp://www.[redacted].kr/admin/data/member/1/log.php

이용파일형식: MS Word, Excel file

파일 생성일: 5월31 / 5월30일 컴파일 된 후 배포됨 

생성자 이름: Lion

파일 내용: 한국 공공기관 프로젝트와 지출에 관한 문서

공격 대상: 정부차원이 아닌 한국'인' 대상

[3단계: 남북한 협동]

엑셀파일에 있던 매크로와 똑같은 타입이 내재된 MS워드 문서

이 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일도 함께 사용

이용파일형식: MS Word, Excel file

MS워드파일

문서 내용: 남북 협력 기금 재정 관련된 가짜 문서 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일

파일 생성일: 2단계 공격이 일어난 때

생성자 이름: Lion

악용 사이트: 위의 음악교사 단체 웹사이트 이외의 다른 웹사이트를 이용해 악성코드를 유포

악용 URL: hxxp://[redacted].kr/gbbs/bbs/admin/log/php

[4단계: 공격대상을 한국 외로 확대 - 미국, 캐나다 대상]

악성 문건은 아직 파악하지 못함. 1단계와 2단계 공격이 다른 서버를 통한 공격이었으므로 4단계도 또 다른 서버를 이용해 공격한 것으로 추측 함.

공격 대상

미국: 금융, 보건, 산업, 농업, 정부 등을 대상 

캐나다: 통신산업 대상

[5단계: 한국과 미국]

Oceansalt는 다수의 샘플을 이용해 공격함

맥아피는 다른 컨트롤 서버를 이용한 변종들을 추가적으로 발견

변종들은 최 Oceansalt의 임플란트와 동일함

파일컴파일: 6월13일~17일

한국과 미국 단체로부터 신고 접수 받음

기술 분석: 맥아피 보고서 p12 참고 

맥아피 보고서 원문 : https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf