한국 노린 사이버 정찰 캠페인, 오션설트 발견
https://www.boannews.com/media/view.asp?idx=73817&page=1&kind=1
[1단계: 한국 대학 대상]
5월 18일경. 한국 이름, 주소, 이메이 주소 등의 재학생 혹은 다수의 교육기관 졸업생의 신상 정보 리스트가 있는 엑셀파일.
이 엑섹파일을 열면 Oceansalt 임플란트가 설치됨. 코드는 www.[redacted].kr/admin/data/member/1/log.php 에서 다운받아 V3UI.exe 파일로 실행하도록 함.
이용파일형식: MS Word, Excel file
[2단계: 한국 주요 공공시설 대상]
이러한 임플란트가 한국의 공식 웹사이트에서 호스팅 되어있는 것을 발견함: 음악 교사 단체 웹사이트
웹페이지는 악성 VBA 스크립트(문서를 다운받거나, 열시 Visaul Basic macros로 통신, 다운로드, 설치가 가능함) 내재된 2개의 엑셀파일을 다운받게 만드는 PHP 페이지를 호스팅함.
1단계 공격당시 맥아피에 신고된 악용URL:
hxxp://www.[redacted].kr/admin/data/member/1/log.php
이용파일형식: MS Word, Excel file
파일 생성일: 5월31 / 5월30일 컴파일 된 후 배포됨
생성자 이름: Lion
파일 내용: 한국 공공기관 프로젝트와 지출에 관한 문서
공격 대상: 정부차원이 아닌 한국'인' 대상
[3단계: 남북한 협동]
엑셀파일에 있던 매크로와 똑같은 타입이 내재된 MS워드 문서
이 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일도 함께 사용
이용파일형식: MS Word, Excel file
MS워드파일
문서 내용: 남북 협력 기금 재정 관련된 가짜 문서 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일
파일 생성일: 2단계 공격이 일어난 때
생성자 이름: Lion
악용 사이트: 위의 음악교사 단체 웹사이트 이외의 다른 웹사이트를 이용해 악성코드를 유포
악용 URL: hxxp://[redacted].kr/gbbs/bbs/admin/log/php
[4단계: 공격대상을 한국 외로 확대 - 미국, 캐나다 대상]
악성 문건은 아직 파악하지 못함. 1단계와 2단계 공격이 다른 서버를 통한 공격이었으므로 4단계도 또 다른 서버를 이용해 공격한 것으로 추측 함.
공격 대상
미국: 금융, 보건, 산업, 농업, 정부 등을 대상
캐나다: 통신산업 대상
[5단계: 한국과 미국]
Oceansalt는 다수의 샘플을 이용해 공격함
맥아피는 다른 컨트롤 서버를 이용한 변종들을 추가적으로 발견
변종들은 최 Oceansalt의 임플란트와 동일함
파일컴파일: 6월13일~17일
한국과 미국 단체로부터 신고 접수 받음
기술 분석: 맥아피 보고서 p12 참고
맥아피 보고서 원문 : https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf
'Incident Report' 카테고리의 다른 글
[2018.11.07] 파키스탄, 해킹으로 8000명 계좌의 돈 사라져 (0) | 2019.03.08 |
---|---|
[2018.11.07] 해커 그레이웨어, 가짜 로그인 페이지 활용 텔레그램, 인스타그램 사용 이란인 목표 공격 (0) | 2019.03.08 |
[2018.10.25] Magecart 해킹그룹 취약한 Magento 익스텐션 소프트웨어 공격으로 목표 변경 (0) | 2019.03.06 |
[2018.10.16] Octopus Trojan 중앙아시아 외교기관 타겟 공격 (0) | 2019.03.05 |
[2018.10.15] 공식 Adobe Flash Update 이용한 모네로 봇 공격 (0) | 2019.03.05 |