지난 2010 년부터 본격화된 국내외 방위산업체에 대한 공격은 현재까지 꾸준히 지속되고 있다. 방위산업체는 방위산업물자를 생산하는 업체로, 단순 산업 분야가 아니라 국가 안보와 밀접히 연관되어 있으며, 경쟁국 혹은 적대국가에서 이들 업체의 정보를 노릴 가능성도 배제할 수 없다. 최근 국내 방위산업체에 대한 공격도 지속적으로 확인되고 있으며, 일부 공격 그룹은 방위산업체뿐 아니라 국내 정치, 외교 분야에 대해서도 공격을 가하고 있다. 한편, 공격자들이 특정 국가의 지원을 받고 있는지는 확인되지 않았다.

방위산업체 공격 사례를 분석한 결과, 공격자는 주로 스피어피싱(Spear Phishing) 이메일과 워터링 홀(Watering-hole) 방식을 통해 악성코드를 유포하였다. 특히 국내 업체 공격의 경우 중앙 관리 시스템 등의 국내 유명 프로그램의 취약점을 이용해 악성코드를 유포하기도 했다.

2010년 이후 국내에서는 4개 이상의 공격 그룹이 활동한 것으로 확인된다. 또한 일부 그룹에서 사용된 악성코드와 공격에 사용된 프로그램에서 한글이 사용된 것을 미뤄보아 공격자 중에는 한국어 사용자도 존재할 것으로 추정된다.


상세한 내용은 '지속적인 방위산업체 공격 시도, 왜?'에서 확인 할 수 있다.

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=2&seq=26565

PDF 파일은 다음 주소에서 다운로드 받을 수 있다.

 http://download.ahnlab.com/kr/site/library/%5bAnalysis%5dDefense_Industry_Threats.pdf

 


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7


안랩에서는 2014년 5월부터 2015년 7월까지 1년 넘게 특정 그룹이 동일한 유형의 악성코드를 이용해 국내 여러 기관과 기업을 공격하고 있음을 파악했다. 악성코드 내부에서 공통적으로 볼 수 있는 ‘BM’과 코드를 자세히 살펴봐야 실제 기능을 파악할 수 있다는 의미에서 이 공격을 ‘검은 광산 작전 (Black Mine Operation, 블랙 마인 오퍼레이션)’으로 명명했다.



Bmdoor 발견 현황Bmdoor 발견 현황 2015년 봄 가장 왕성한 활동



공격자는 파워포인트 자료를 보여주는 실행 파일로 가장한 악성코드를 이용해 특정 대상을 공격한 것으로 보인다. 


파워포인트 자료로 가장한 Bmdoor파워포인트 자료로 가장한 Bmdoor



현재까지 안랩에서 파악한 공격 대상은 크게 한국의 에너지, 교통, 통신, 방송, IT 기업, 금융, 정치 분야 등으로 다양하다. 이외에도 공격자는 2014년 7월과 2015년 3월에는 국내 웹사이트를 해킹해 일반인을 상대로 악성코드를 퍼뜨리기도 했다.


공격에 이용된 Bmdoor는 정상 실행 파일처럼 보이지만 실행되면 파일 끝부분에 암호화 되어 숨겨진 악성코드가 메모리에서 실행된다. 암호화된 영역은 특징적으로 ‘BM’ 문자열로 시작하며 분석가와 자동분석 시스템을 우회하려는 기능을 포함한 경우가 많다. 


Bmdoor 내 숨겨진 악성코드는 추가 악성코드를 다운로드하는 Bmdown, 원격 제어 기능을 갖춘 Bmbot 등이 존재한다.


또한 지속적으로 발생하는 해당 공격에 대해 분석해 본 결과, 기존에 한국을 대상으로 한 대형 공격인 3.20 전산망 장애, 6.25 사이버 공격 등을 비교했을 때 블랙 마인 오퍼레이션 공격 추정 세력과 이들 그룹과의 연관 가능성이 있음을 확인했다.


자세한 내용은 다음 주소에서 확인 할 수 있다.


- 월간 안 2015년 11월호






저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7