해외 보안 트렌드

<사건요약>

Chris C. Demchak and Yuval Shavitt는 China Telecom이 중국을 통하는 통신을 과거 수 차례 하이재킹했다고 밝히는 논문 발표

China Telecom : 중구에서 가장 큰 통신 회사. 현재 10 points-of-presence(PoPs)을 가짐(8: 미국, 2:캐나다) 

2010년  15%의 전세계 인터넷 prefix를 하이재킹해 유명한 웹사이트들이 18분동안 중국을 거쳐 리라우팅이 되도록 함

이는 미국 정부 사이트("".gov"", "".mil"")에도 영향을 미침

China Telecom 다양한 방법으로 트래픽 하이재킹에 관여하고 반복적인 IP 하이재킹 공격을 시도.

이를 정상적인 BGP 행동이라고 치부할 수 있지만 '길어진 라우트'와 '비정상적인 지속시간'을 볼 때 악의적인 목적의 공격이었다고 볼 수 있음.

오라클의 인터넷 분석 디렉터 Doug Madory는 해당 ISP가 트래픽 하이재킹을 오랫동안 해왔다고 입증했으나 그 목적은 불분명하다고 함.

*오라클은 2016년 웹트래픽 관리 회사인 Dyn을 인수해 웹 트래픽에 대해 전문성을 가짐.

*BGP 하이재킹(또는 prefix, route 하이재킹이라고도 불림)은 미국에서 특정 결제 프로세싱을 공격하기 위해 최근 몇 년간 사용되고 있다. 

논문 : China’s Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom’s BGP Hijacking

   https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca

출처 : https://www.securityweek.com/china-telecom-constantly-misdirects-internet-traffic?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

<사건 요약>

파키스탄 사이버범죄 연방조사국(Officials of cybercrime wing of the Federal Investigation Agency (FIA))은 

지난 10월27일, 28일 사이버 공격으로 인해 12개 은행의 8000명의 고객 계좌에서 돈이 빠져 나갔다고 발표함

해외 결제 카드를 통해 Rs 2.6 million 루피(약 4천만원)를 도난당했으며, 27일 유사 해외 송금건에 대해 차단하였음

전직 칸 연구소 수석 과학자는 자신의 계좌에서 Rs 3 million 루피(약 4천 6백만원)이 빠져나갔다고 신고함.

  * 파키스탄의 생활비는 한국과 비교해 72.18%가 낮음

<영향성>

대부분의 파키스탄 은행이 공격에 피해를 당함.

아직 피해규모를 정확히 파악인 안된 상태. 

현재 개인이 피해사실을 신고하지 않아 피해규모가 얼마나 되는지 알기 어려움.

공격을 당한 은행들에대해 파키스탄정부는 해외 송금을 일시적으로 중단하도록 지시.

출처 : https://www.financialexpress.com/world-news/pakistan-thousands-of-bank-accounts-compromised-money-stolen-due-to-hacking/1375115/

<조사 기관>

Cisco Talos 발표

<공격내용> 

비공식 iOS와 안드로이드 앱으로 인스타그램과 텔레그램 라이크, 댓글, 팔로워 등을 늘릴 수 있도록 계정을 많이 노출시켜 준다면서 현혹

사용자가 텔레그램 클론을 설치하도록 유도함. (클론이 설치된 휴대전화의 모든 연락처와 메시지에 접근이 가능함)

가짜 인스타그램 앱은 풀 세션 데이터를 해커에게 보냄(해커는 계정의 모든 컨트롤이 가능해 짐)

위의 악성 앱들은 데이터를 호스트 서버로 전송하고 이란에 위치한 IP주소로 감염된 장비들을 컨트롤 함.

1)그레이웨어 활용: 사용자의 인스타그램 비밀번호 없이, 공격자는 유저세션을 가로챌 수 있음 (텔레그램의 경우 연락처와 메시지에 접근가능)

2)가짜 로그인 페이지 활용 : ""Charming Kitten"" 그룹이 오랫동안 사용하던 방식

공격자가  장치의 BGP 프로토콜을 하이재킹하여 트래픽을 리다이렉하는 방식 

(이는 인터넷서비스제공자(ISP)의 협조가 필요한 공격)

<공격대상>

이란을 대상으로 한 공격이나, 이에 대한 연관관계를 찾지 못함. 

공격은 이란, 러시아와 같은 텔레그램과 이와 유사한 앱을 차단한 국가에 위협으로 다가옴

*현재 이란에서는 이란 정부의 사용 금지를 피해, 다양한 텔레그램 클론이 다운받아지고 있음

출처 : https://www.securityweek.com/hackers-target-telegram-instagram-users-iran

<Magecart 해킹그룹>

보안이 취약한 결제사이트에서 XSS방법을 이용 신용카드 정보를 해킹하는 전문 해커집단.

지난 9월 British Airline,Ticketmaster(공연예매 사이트), Newegg(컴퓨터하드웨어,소프트웨어 온라인몰), Feedify(클라우드 서비스 제공),

Shopper Approved(온라인스토어의 리뷰검색 소프트웨어)공격을 주도한 것으로 알려짐(공격에 사용된 코드가 매우 유사함)

<공격방법>

Magecart멀웨어와 함께 자바스크립트 코드를 고객 후기 작성란에 삽입함. 

코드는 목표 사이트에 맞게 커스터마이징을 하여 특정 페이지에만 삽입하여 효율성을 높임. 

이 22라인의 코드는 결제자가 '결제하기' 버튼을 누르면 결제자의 정보를 저장해 공격자 서버로 전송함.

공격자들은 공격을 위장하기 위해 유로 서버 SSL 인증서를 사용하기도 함.

<공격대상>

공격대상을 대형 웹사이트에서 유명한 온라인몰 익스텐션 소프트웨어의 취약점 공격으로 전환.

PHP의 unserialize() 함수를 이용해 DB혹은 자바스크립트 파일을 조작하는 공격을 하는 것으로 추정.

위의 공격이 성공할 시 공격 웹사이트에 커스터마이징한 자바스크립트 결제섹션을 삽입함.

사용자가 신용카드 정보를 입력하고 '제출' 버튼을 누르는 즉시 가짜 결제폼은 사라짐.

코드는 2단계 결제 추출 방법을 사용한 것으로 밝혀짐.

*마젠토는 PHP기반 오픈소스 e커머스 플랫폼 (https://magento.com)

현재 많은 수의 확장프로그램을 존재하며, 다수의 PHP Object Injection(POI)취약점(약23개)을 발견한 것으로 보임.

(취약점 패치는 확장프로그램 개인 개발자의 역량이 달려있으며, 사용자는 확장프로그램의 취약여부를 인지하지 못한 상태)

한국 노린 사이버 정찰 캠페인, 오션설트 발견

https://www.boannews.com/media/view.asp?idx=73817&page=1&kind=1

[1단계: 한국 대학 대상]

5월 18일경. 한국 이름, 주소, 이메이 주소 등의 재학생 혹은 다수의 교육기관 졸업생의 신상 정보 리스트가 있는 엑셀파일.

이 엑섹파일을 열면 Oceansalt 임플란트가 설치됨. 코드는 www.[redacted].kr/admin/data/member/1/log.php 에서 다운받아 V3UI.exe 파일로 실행하도록 함.

이용파일형식: MS Word, Excel file

[2단계: 한국 주요 공공시설 대상] 

이러한 임플란트가 한국의 공식 웹사이트에서 호스팅 되어있는 것을 발견함: 음악 교사 단체 웹사이트

웹페이지는 악성 VBA 스크립트(문서를 다운받거나, 열시 Visaul Basic macros로 통신, 다운로드, 설치가 가능함) 내재된 2개의 엑셀파일을 다운받게 만드는 PHP 페이지를 호스팅함. 

1단계 공격당시 맥아피에 신고된 악용URL:

hxxp://www.[redacted].kr/admin/data/member/1/log.php

이용파일형식: MS Word, Excel file

파일 생성일: 5월31 / 5월30일 컴파일 된 후 배포됨 

생성자 이름: Lion

파일 내용: 한국 공공기관 프로젝트와 지출에 관한 문서

공격 대상: 정부차원이 아닌 한국'인' 대상

[3단계: 남북한 협동]

엑셀파일에 있던 매크로와 똑같은 타입이 내재된 MS워드 문서

이 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일도 함께 사용

이용파일형식: MS Word, Excel file

MS워드파일

문서 내용: 남북 협력 기금 재정 관련된 가짜 문서 외에 MS워드 문서와 연관된것 처럼 보이는 연락처와 전화번호를 포함한 엑셀 파일

파일 생성일: 2단계 공격이 일어난 때

생성자 이름: Lion

악용 사이트: 위의 음악교사 단체 웹사이트 이외의 다른 웹사이트를 이용해 악성코드를 유포

악용 URL: hxxp://[redacted].kr/gbbs/bbs/admin/log/php

[4단계: 공격대상을 한국 외로 확대 - 미국, 캐나다 대상]

악성 문건은 아직 파악하지 못함. 1단계와 2단계 공격이 다른 서버를 통한 공격이었으므로 4단계도 또 다른 서버를 이용해 공격한 것으로 추측 함.

공격 대상

미국: 금융, 보건, 산업, 농업, 정부 등을 대상 

캐나다: 통신산업 대상

[5단계: 한국과 미국]

Oceansalt는 다수의 샘플을 이용해 공격함

맥아피는 다른 컨트롤 서버를 이용한 변종들을 추가적으로 발견

변종들은 최 Oceansalt의 임플란트와 동일함

파일컴파일: 6월13일~17일

한국과 미국 단체로부터 신고 접수 받음

기술 분석: 맥아피 보고서 p12 참고 

맥아피 보고서 원문 : https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf

Octopus Trojan 중앙아시아 외교기관 타겟 공격

- 목적: 텔레그램을 이용한 공격으로 카자흐키스탄 등 구 소련 국가들의 서비스를 마비를 시도 (러시아 전역에서 텔레그램 사용 금지)

- 공격자: DustSquad 라는 러시아 언어기반 스파이 그룹 소행으로 추정(이 그룹은 수년째 중앙 아시아를 대상으로 활동함)

- 공격내용: Octopus Trojan: 윈도우 대상 악성 프로그램.

카자흐키스탄 반대파 전용 텔레그램 앱으로 가장(실제 존재하지않음). ""DVK-Democratic Choice of Kazakhstan""파일에 Octopus Trojan 심어놓음 (카자스키스탄은 지난 4월 텔레그램에 카자흐키스탄 반대파(DVK)가 만든 모든 컨텐츠를 삭제하지 않으면 텔레그램 사용을 금지선언함) 시작 프로그램은 해당 지역의 잘알여진 반대 정치세력의 심볼을 사용하여 위장

- 공격영향: 패키지가 설치 되면, 공격자는 감염된 컴퓨터를 원격으로 조정가능(스파잉, 정보 유출,백도어 접근 가능)

출처 : https://www.zdnet.com/article/octopus-trojan-exploits-telegram-ban-to-snag-targets-across-asia/"

<공격최초시점>

2018년 8월

<동작원리>

가짜 URL을 사용자가 누를시 공식 아도비 업데이트를 실시.

공식 아도비 설치 팝업 메세지를 이용하였으며, 

업데이트 파일에 숨겨진 모네로 마이닝 봇 XMRig을 설치하게 함

감염된 PC는 모네로 마이닝을 실시한 뒤, 실제 최신 Flash 업데이트를 실시함

이러한 형태의 샘플은 현재까지 113개 발견

이렇게 마이닝된 모네로는 모두 1개의 지갑으로 전송됨.

<특이점>

사용자는 아도비 업데이트의 유효성을 알길이 없음. 

크립토젝킹(cryptojacking)과 플레시 업데이티, 이 두가지 형태의 공격을 하나로 융합한 사례

*아도비 측은 아직 아무런 반응이 없는 상태임.

출처 : https://www.hackread.com/fake-flash-update-cryptomining-malware/