카스퍼스키랩, 아시아 전역에 기업 경영진을 대상으로 한 다크호텔 APT 공격 경고

2014-10-15 19:00
편집부 press@bodnara.co.kr

보안 및 위협 관리 솔루션 분야의 선두주자 카스퍼스키랩(지사장 이창훈, www.kaspersky.co.kr)은 아시아의 고급호텔에 머물고 있는 특정 기업 경영진들을 대상으로 한 ‘다크호텔’ 스파이 공격이 자행되고 있다고 밝혔다.

이 공격은 장기간 호텔 외부에서 기밀 정보를 추적할 수 있는 진화된 수법으로 수많은 기기를 통해 지난 수 년 동안 전세계적으로 확산됐으며, 한국, 일본, 대만, 중국 및 러시아에서 90% 이상의 피해자가 발생한 것으로 나타났다. 그 외 발생 국가로는 독일, 미국, 인도네시아 및 아일랜드가 있다.

일반적으로 비즈니스 여행객들은 출장을 가서 호텔에 머무는 동안 와이파이 네트워크에 접속하기 위해 이름과 객실 번호를 입력한다. 이 점을 악용해 공격자들이 공격 대상을 식별하고, 민감한 정보를 탈취하는 백도어의 설치를 유도하는 수법을 사용했다.

호텔 공격 방법

• 기업 경영진들이 호텔 와이파이(Wi-Fi) 네트워크에 접속하면 구글 툴바, 어도비 플래시 또는 윈도우 메신저 등의 유명 소프트웨어의 업데이트를 요구하는 가짜 팝업 창이 나타난다. 이 때 기업 경영진들이 이를 설치하면, 다크호텔 지능형 지속공격(APT)용 백도어 악성 코드가 설치된다.

• 백도어는 디지털 서명이 된 고급 키로거 프로그램과 일명 ‘카르바(Karba)’ 트로이목마 및 기타 정보 탈취 모듈로 구성된 툴 세트이다. 이들 툴을 사용해 시스템과 관련된 각종 데이터와 악성코드 차단 소프트웨어 정보를 수집하며, 파이어폭스, 크롬 및 인터넷 익스플로러에 저장된 암호 정보, 지메일 알리미, 트위터, 페이스북, 야후 및 구글 로그인 정보 및 기타 개인 정보를 추적한다.

이렇듯 이번 ‘다크호텔’ 공격은 매우 정확하게 목표를 선별할 수 있어 피해자가 높은 수준의 보안 위험에 처할 수 있다.

다크호텔 공격툴 유포

다크호텔 공격자들은 아시아 지역의 호텔에 있는 기업 경영진들을 감시할 뿐 아니라 P2P/파일 공유 네트워크를 활용한 악성 코드 배포 및 특정 조직 대상의 정밀 피싱(spearphishing) 이메일으로도 목표로 한 피해자들을 공격한다.

• 카스퍼스키랩의 전문가들은 방위 및 산업 업체, 정부기관, 대규모 전자제품 제조업체, 제약회사 등 가치 있는 정보를 지닌 기업을 목표로 한 동일 공격자에 의해 진행된 사건을 조사했다. 이 공격들은 완벽하게 위장된 다크호텔 공격과 함께 전형적인 스피어 피싱으로 이뤄졌다. 이메일-미끼(Email-lure) 콘텐츠는 흔히 핵 에너지와 무기 기능과 같은 주제를 포함한다. 지난 수 년 동안 스피어피싱 이메일은 어도비의 제로데이 익스플로잇을 첨부하거나 인터넷 익스플로러 제로데이 익스플로잇으로 공격 대상을 유도하는 웹사이트 링크를 걸었다.

• 공격자는 한 번에 수 많은 파일 배포가 가능한 토렌트 P2P 공유 네트워크를 통해 애니메이션 포르노 동영상으로 위장한 악성 코드를 널리 배포한다. 일부 호텔 비즈니스 센터 사용자들은 이와 같은 토렌트 등의 여러 배포 수법에 쉽게 걸려드는 것으로 나타났다. 일단 배포된 백도어를 통해 피해자의 중요도를 확인한 후 추가적인 공격 툴을 다운로드 하도록 하며 이를 통해 공격자들이 가치 있는 정보에 접근할 수 있도록 지원한다.

다크호텔 APT 공격 배후

한국어를 구사하는 공격자를 암시하는 일련의 악성 코드 흔적을 남겼으나 이를 통해 공격 배후가 누구인지 정의하기는 어렵다.

커트 바움가트너(Kurt Baumgartner) 카스퍼스키랩 수석 보안 연구원은 “지난 7년동안 다크호텔로 명명된 강력한 공격자는 전형적인 사이버 범죄 행위를 넘어서는 방법과 기술을 사용해 전 세계를 대상으로 수 많은 공격을 성공적으로 진행해왔다. 다크호텔은 인프라 운영 능력과 수학적이며 암호화된 강력한 기능을 갖추고 있으며, 신뢰 가능한 상용 네트워크를 악용하고 전략적으로 특정 피해자를 분류할 수 있는 충분한 여러 자원들을 보유하고 있다. 또한, 공격자는 수 년 동안 이를 운영할 자원이 있고, 필요 시 제로데이 공격을 사용한다”고 말했다.

다크호텔의 악위적인 행위는 고도의 타겟 공격인 동시에 악성 코드의 무분별한 확산이다. 그 예로, APT 공격자은 카르바 트로이목마 바이러스를 .rar 압축 파일의 일부로 비트토렌토(BitTorrent)를 통해 대량으로 퍼뜨린다. 또한, 저비용의 인프라로 제로데이 공격과 고급 키로거가 포함된 잘 개발된 툴을 지원한다.

커트 바움가트너 수석 보안 연구원은 또한 “우리는 장기간 계속돼 온 APT와 수 많은 보고되지 않은 공격들이 일상적으로 발생되는 것을 보아 왔다. 이러한 타깃화되고 무분별한 두 공격의 결합은 보다 일반적인 APT 모습이 될 것”이라고 덧붙였다.

다크호텔 공격 차단 방법

호텔 또는 비즈니스 센터에서 공용 네트워크를 사용하는 것은 잠재적으로 위험한 행동임을 인지하고 있어야 한다. 다크호텔 사례는 공격 수법의 진화를 보여주는 일례로 가치 있는 정보를 지닌 개인은 다크호텔 공격과 유사한 위험에 쉽게 빠질 수 있다. 이를 방지하기 위한 몇 가지 주의사항은 다음과 같다.

• 공용 와이파이 인터넷에 접속할 때, 신뢰하는 VPN에 연결한다.

• 발신지 속임 등 피싱 이메일 공격을 구별하는 방법에 대해 교육받는다.

• 모든 소프트웨어를 최신 버전으로 관리하고 업데이트한다.

• P2P 네트워크에서 다운받은 실행 파일은 함부로 클릭하지 않는다.

• 여행지에서는 소프트웨어 업데이트를 자제한다.

• 기본 악성 코드 차단 기능은 물론 능동적인 방어 기능을 제공하는 높은 품질의 인터넷 보안 소프트웨어를 설치한다.

탐지 현황

카스퍼스키랩의 제품들은 다크호텔 공격툴에서 사용되는 악성 코드 및 그 변종을 탐지하고 치료한다. 다크호텔 툴킷에는 Exploit.SWF.Agent.gen, Exploit.MSPPoint.Agent.y, Exploit.Win32.CVE-2010-2883.a, Trojan-Downloader.Win32.Small.kwk, Trojan-Spy.Win32.Agent.cjuj, Trojan-Dropper.Win32.Agent.buxs, Trojan.Win32.Karba.e 및 Virus.Win32.Pioneer.dx가 있다.

다크호텔 APT에 관한 보고서 전문은 카스퍼스키랩의 보안 전문 포털인 Securelist.com에서 확인 가능하다.

이 기사의 의견 보기

마프티

/ 14-10-16 10:39/ 신고

정말 그렇게 위험한 것인가...

프리스트

/ 14-10-22 12:27/ 신고

별별 수법이 다..

닉네임

비회원

보드나라 많이 본 뉴스

AMD 라데온 RX 9060 XT 출시는 6월?

엔비디아, 지포스 RTX 50 시리즈에 둠 다크 에이지 프리미엄 에디션 번들 프로모션 진행

엔비디아, RTX 50 시리즈 안정성 개선 게임 레디 드라이버 576.28 WHQL 배포

보드나라 많이 본 기사

시원한 통풍구가 인상적인 Wi-Fi 6 유무선 공유기, ipTIME AX3000Q

기계속에 스며든 자연의 모습, 잘만 P10 NAMU 케이스

작고 빠른 고속 충전기의 합리적 변신,ipTIME UP451/UP452 화이트

보드나라 최신 기사

[10/15] 삼성스토어, 전자제품 유통매출 3년 연속 1위 기념 '패밀리 대축제' 진행

[10/15] '둠: 더 다크 에이지스' 게임 증정! MSI 지포스 RTX 50 시리즈 구매 이벤트

[10/15] ‘지마켓 빅스마일데이’서 인텔/AMD 기반 지포스 RTX 50 그래픽 탑재 게이밍 PC 특가 행사 참여

[10/15] 기가바이트 노트북, 지마켓 빅스마일데이 최대 49만원 할인 프로모션 실시

[10/15] JBL-AKG, G마켓 ‘빅스마일데이’서 인기 오디오 제품 최대 67% 할인 진행

[10/15] 르노코리아, 2025년 4월 내수 5252대 및 수출 5175대로 총 1만427대 판매

[10/15] GIGABYTE MO32U QD-OLED 4K 모니터, 출시기념 최대 42% 할인

[10/15] NVIDIA GeForce RTX 50 시리즈 구매하고, DOOM: The Dark Ages 프리미엄 에디션 받아가세요!

[10/15] 퍼플랩 11번가 그랜드 십일절 GeForce RTX 50시리즈로 만나는 특별한 할인행사

[10/15] 넥슨, ‘카트라이더 러쉬플러스’ 5주년 기념 ‘노티드’와 컬래버 진행

[10/15] 폴스타코리아, 전라도 지역 최초 ‘스페이스 광주’ 신규 오픈

[10/15] 오버워치 2, 스타디움에 도입될 향후 계획 담은 로드맵 공개

[10/15] <마블 라이벌즈> 글로벌 e스포츠 대회 ‘이그나이트(IGNITE)’ 개최 발표

[10/15] GTA 온라인, 오픈 휠 레이스에서 GTA 달러/RP 등 혜택 제공

[10/15] MSI, RTX 50 시리즈 노트북 둠: 더 다크 에이지스 게임 코드 증정

[10/15] 넥슨 카트라이더: 드리프트, 가정의 달 맞이 어른이날 이벤트 진행

[10/15] 마블게임박물관, 어린이 날 기념 어린이 대상 무료 개방

[10/15] 브리츠, BZ-TMK1 턴테이블 출시

[10/15] 닌자, 현대백화점 판교서 가정의 달 기념 빅 프로모션 진행

[10/15] 벤큐 조위, 4K 무선 게이밍 마우스 EC2-DW 출시

로그인 | 이 페이지의 PC버전