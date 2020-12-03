보안 비즈니스 운영

IBM, 코로나19 백신 콜드체인을 표적으로 삼는 글로벌 피싱 캠페인 발견

약병에서 백신을 꺼내는 의사

작성자

Claire Zaboeva

Senior Strategic Cyber Threat Analyst

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

코로나19 팬데믹이 시작되자 IBM® Security X-Force는 백신 공급망을 유지하는 조직을 대상으로 하는 코로나19 사이버 위협을 추적하는 전담 위협 인텔리전스 태스크포스를 만들었습니다. 이러한 노력의 일환으로 최근 저희 팀은 코로나19 콜드체인과 관련된 조직을 노리는 글로벌 피싱 캠페인을 발견했습니다. 콜드체인은 백신 공급망의 구성 요소로, 백신을 스토리지 및 운송하는 동안 온도가 제어되는 환경에서 백신을 안전하게 보존할 수 있도록 합니다.

분석에 따르면 이 계산된 작업은 2020년 9월에 시작되었습니다. 코로나19 피싱 캠페인은 6개 국가에 걸쳐 진행되었으며, 이 블로그에서 자세히 설명하는 백신연합의 콜드체인 장비 최적화 플랫폼(CCEOP) 프로그램 Gavi와 관련된 조직을 표적으로 삼은 것으로 추정됩니다. 이 캠페인에 대한 확고한 기여도를 확립할 수는 없었지만 경영진과 주요 글로벌 조직을 정확하게 타겟팅하는 것은 국가 간 무역의 잠재적 특징을 지니고 있습니다.

이 활동에 대한 IBM Security X-Force의 분석에서 나온 몇 가지 세부 정보는 다음과 같습니다.

  • 커버 스토리 - 공격자는 코로나19 백신 공급망의 신뢰할 수 있고 합법적인 회원사이자 CCEOP 프로그램의 적격 공급업체인 Haier Biomedical의 비즈니스 임원을 사칭했습니다. 이 회사는 세계 유일의 완전한 콜드체인 공급업체로 알려져 있습니다. 이 직원으로 위장한 공격자는 코로나19 콜드체인 내에서 운송 수요를 충족하기 위해 물질적 지원을 제공하는 조직에 피싱 이메일을 보냈습니다. 코로나19 피싱 캠페인의 목적은 자격 증명을 수집하여 향후 기업 네트워크 및 코로나19 백신 배포와 관련된 민감한 정보에 무단 액세스하는 것을 가능하게 하기 위한 것일 수 있습니다.
  • 대상 - 대상에는 유럽 연합 집행위원회 조세총국과 관세청을 비롯하여 에너지, 제조, 웹사이트 제작, 소프트웨어 및 인터넷 보안 솔루션 분야의 조직이 포함되었습니다. 이들은 독일, 이탈리아, 한국, 체코, 대유럽 및 대만에 본사를 둔 글로벌 조직입니다.
  • 방법 - 스피어 피싱 이메일은 영업, 구매, 정보 기술 및 재무 직책에 있는 일부 임원들에게 발송되었으며, 이들은 백신 콜드체인을 지원하기 위한 회사의 노력과 관련이 있을 가능성이 높습니다. 또한 이 활동이 대상 조직의 도움말 및 지원 페이지를 포함하도록 조직 전체로 확장된 사례도 확인했습니다.

IBM Security X-Force는 책임 있는 공개 프로토콜을 준수하고 해당 표적 작업에 대해 관련 기관 및 당국에 알렸습니다.

코로나19 공급망에 대한 경고

IBM Security X-Force는 치료법 연구, 의료 서비스 제공부터 백신 배포에 이르기까지 코로나19 공급망에 속한 기업들이 이 시기에 경계를 늦추지 않고 경계 태세를 유지할 것을 촉구합니다. 정부들은 이미 외국 기관들이 백신 정보를 훔치기 위한 사이버 스파이 활동을 시도할 가능성이 높다고 경고했습니다. 오늘 DHS CISA는 이 블로그와 함께 백신 보관 및 운송과 관련된 조직이 이 연구와 권장 모범 사례를 검토하여 경계를 늦추지 않도록 권장하는 경고를 발표합니다.

코로나19 콜드체인을 손상시키기 위한 계산된 스푸핑

IBM Security X-Force는 CCEOP 프로그램을 지원하는 여러 산업, 정부 및 글로벌 파트너들의 표적을 밝혀냈습니다. CCEOP는 2015년 Gavi, 백신연합, 유엔 아동기금(UNICEF) 및 기타 파트너들이 함께 출범시켰습니다. 궁극적으로 백신 공급망을 강화하고, 예방 접종 형평성을 최적화하며, 감염병 발생에 대한 민첩한 의료 대응을 보장하는 것이 목표입니다. 다양한 종류의 의약품, 특히 백신은 안전한 보존을 위해 온도 관리가 가능한 환경에서 보관 및 운송해야 합니다.

CCEOP 이니셔티브는 자연스럽게 코로나19 백신 배포를 촉진하기 위한 노력에 박차를 가하고 있습니다. 이 글로벌 연합의 어느 한 부분에서 침해가 발생하면 전 세계 수많은 파트너 컴퓨팅 환경이 노출될 수 있습니다.

스푸핑된 피싱 이메일은 현재 세계보건기구(WHO), 유니세프 및 기타 유엔 기관과 협력하여 CCEOP 프로그램의 적격 공급업체로 활동 중인 중국 기업 Haier Biomedical의 비즈니스 담당자가 보낸 것으로 보입니다. 공격자는 Haier Biomedical이 세계 유일의 완전한 콜드체인 공급업체로 알려져 있기 때문에 전략적으로 Haier Biomedical을 사칭하기로 결정했을 가능성이 높습니다. 마찬가지로, 이러한 이메일을 보낸 것으로 추정되는 Haier Biomedical 직원은 이메일 서명 블록에 나열된 역할에 따라 Haier Biomedical의 콜드체인 유통 운영과 관련이 있을 가능성이 높습니다.

코로나19 피싱 캠페인이 성공했는지는 분석 결과 불분명합니다. 그러나 현재 백신 운송에서 Haier Biomedical의 역할이 확립되어 있고 코로나19 백신 배포에서 Haier Biomedical의 역할 가능성이 높기 때문에 의도된 대상자가 발신자의 진위를 의심하지 않고 인바운드 이메일에 참여할 가능성이 높습니다.

광범위한 액세스를 위한 자격 증명 수집

피싱 이메일의 제목은 CCEOP 프로그램과 관련된 견적 요청(RFQ)으로 위장되었습니다. 이메일에는 로컬에서 열리는 악성 HTML 첨부 파일이 포함되어 있어 수신자에게 파일을 보려면 자격 증명을 입력하라는 메시지가 표시됩니다. 이 피싱 기법은 공격자가 보안 연구팀과 법 집행 기관에서 발견하고 삭제할 수 있는 온라인 피싱 페이지를 설정하는 것을 방지하는 데 도움이 됩니다.

이 캠페인의 목적은 향후 무단 액세스를 얻기 위한 자격 증명을 수집하는 것이었을 것으로 판단됩니다. 이를 통해 공격자는 내부 커뮤니케이션은 물론 코로나19 백신을 배포하는 프로세스, 방법 및 계획에 대한 인사이트를 얻을 수 있습니다. 여기에는 정부가 백신을 공급할 공급업체에 백신을 배포하는 데 사용하려는 인프라에 대한 정보가 포함됩니다. 그러나 공격자의 접근은 코로나19 백신과 관련된 중요한 정보를 넘어 피해자의 환경까지 더 깊숙이 확장될 수 있습니다. 네트워크를 가로질러 이동하고 은밀하게 남아 있으면 사이버 스파이 활동을 수행하고 향후 작전을 위해 피해자 환경에서 추가 기밀 정보를 수집할 수 있습니다.

코로나19 백신 공급망과 관련된 조직의 임원에게 발송된 피싱 이메일의 스크린샷입니다.

그림 1: 코로나19 백신 공급망과 관련된 조직의 임원에게 발송된 피싱 이메일.

글로벌 타겟팅

캠페인의 대상이 된 조직의 전문화와 글로벌 분포를 고려할 때, 공격자는 콜드체인의 중요한 구성 요소와 참여자를 잘 알고 있을 가능성이 높습니다.

  • 유럽연합 집행위원회 조세 및 관세총국 - 조세총국은 유럽연합 전역에서 관세 및 세금 문제에 대한 협력을 촉진하는 업무를 담당합니다. 여러 국가 정부 네트워크와 직접적인 관계를 유지하며 무역 및 규제와 관련이 있습니다. 이 단체를 표적으로 삼는 것은 유럽연합 27개 회원국 및 그 너머의 여러 고가치 목표에 영향을 미치는 단일 타협점이 될 수 있습니다.
  • 에너지 분야 - 스피어 피싱의 표적에는 태양광 패널 제조 관련 기업이 포함되었습니다. 안정적인 전력 공급이 불가능한 국가에서 백신을 냉장 보관하는 방법 중 하나는 태양광 패널로 구동되는 백신 냉장고를 사용하는 것입니다. 이러한 기술이 유출되면 지적 재산이 도난당하거나 전 세계 암시장에서 백신 운송 컨테이너를 훔쳐서 판매할 수 있습니다. 타겟팅 대상에는 석유화학 관련 기업도 포함되었습니다. 콜드체인의 핵심 구성 요소 중 하나는 석유 생산의 부산물인 건조 얼음을 사용하는 것입니다.
  • IT 분야 - 한국의 소프트웨어 개발 회사와 독일의 웹사이트 개발 회사가 공격 대상에 포함되었습니다. 후자는 제약 제조업체, 컨테이너 운송, 생명 공학 및 해상, 육상 및 항공 항해 및 통신을 가능하게 하는 전기 부품 제조업체와 관련된 여러 고객을 지원합니다.

이러한 공격의 배후는 누구일까요?

현재 배후는 밝혀지지 않았지만, 정밀한 타겟팅과 특정 표적 조직의 특성으로 볼 때 국가 차원의 활동일 가능성이 있습니다. 현금 인출에 대한 명확한 경로가 없다면 사이버 범죄자들은 전 세계에 분산되어 있고 서로 연결된 수많은 표적을 대상으로 이러한 계산된 작전을 실행하는 데 필요한 시간과 자원을 투자하지 않을 것입니다. 마찬가지로 백신 운송에 대한 인사이트는 암시장에서 인기 있는 상품이 될 수 있지만, 생명과 세계 경제에 영향을 미칠 수 있는 백신의 구매와 이동에 대한 고급 인사이트는 국가가 우선순위가 높은 고가치 목표가 될 가능성이 높습니다.

2020년 초, IBM Security X-Force는 전 세계 코로나19 PPE 공급망을 표적으로 삼는 활동을 밝혀냈습니다. 마찬가지로, 전 세계적으로 백신을 확보하기 위한 경쟁이 치열해짐에 따라 콜드체인은 전 세계 국가 수집 요건 목록의 최우선 순위가 될 강력한 표적이 될 가능성이 높습니다.

방어자에 대한 권장 사항

IBM Security X-Force는 기업 인텔리전스 관리 플랫폼에서 코로나19 공급망 커뮤니티를 호스팅할 준비가 되어 있으며, 위협 정보를 공유하고 최신 위협 정보에 대응할 수 있습니다. 다음은 조직이 이 블로그에 설명된 개발 상황에서 사이버 준비를 강화하기 위한 권장 사항입니다.

  • 사고 대응 계획을 만들고 테스트하여 조직의 준비 태세와 공격 발생 시 대응 태세를 강화하세요.
  • 위협 인텔리전스를 공유하고 수집하세요. 위협 공유 이니셔티브와 파트너십은 업계에 영향을 미치는 최신 위협 및 전술에 대한 경보를 유지하는 데 필수적입니다. IBM Security X-Force는 이 위협 인텔리전스를 코로나19 위협 공유 구역에 제공하고 있습니다. 팬데믹이 시작되자 IBM은 사이버 위협에 대한 더 많은 주의가 필요한 모든 조직이 이 구역에 자유롭게 접근할 수 있도록 했습니다.
  • 타사 에코시스템을 평가하고 타사 파트너가 야기하는 잠재적 위험을 평가하세요. 타사 파트너가 준수해야 하는 강력한 모니터링, 액세스 제어 및 보안 표준이 마련되어 있는지 확인하세요.
  • 보안 전략에 제로 트러스트 접근 방식을 적용하세요. 환경이 계속 확장됨에 따라 사용자에게 업무에 필수적인 데이터에 대한 액세스 권한만 부여하도록 하려면 권한 액세스 관리가 무엇보다 중요해졌습니다.
  • 조직 전체에서 다단계 인증(MFA)을 사용하세요. MFA는 악의적인 공격자가 사용자의 자격증명에 액세스한 경우 안전 장치 역할을 합니다. 마지막 방어선으로 MFA는 계정에 액세스하기 위한 두 번째 형태의 확인 요구 사항을 제공합니다.
  • 정기적인 이메일 보안 교육 교육을 실시하여 직원들이 피싱 전술에 대해 경계하고 이메일 보안 모범 사례를 숙지할 수 있도록 합니다.
  • 엔드포인트 보호 및 대응 도구를 사용하여 조직 전체에 확산되는 위협을 보다 쉽게 탐지하고 방지하세요.

조직에서 즉각적인 사고 대응 지원이 필요한 경우 IBM Security X-Force의 미국 핫라인 1-888-241-9812 | 글로벌 핫라인 (+001) 312-212-8034로 문의하세요. X-Force의 위협 인텔리전스사고 대응 서비스에 대해 자세히 알아보세요.

침해 지표(IOC)

악성 HTML 파일: RFQ – UNICEF CCEOP 및 백신 프로젝트 – Copy (#).html

SHA256 해시
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

C2 URLs

hxxps://e-mailer.cf/next[.]php

hxxps://e-mailer.ga/next[.]php

hxxps://nwa-oma2.ml/next[.]php

hxxps://routermanager.ga/next[.]php

hxxps://routermanager.gq/next[.]php

hxxps://routermanager.ml/next[.]php

hxxps://routermanagers.cf/next[.]php

hxxps://routermanagers.ga/next[.]php

hxxps://routermanagers.gq/next[.]php

hxxps://routermanagers.ml/next[.]php

hxxps://serverrouter.cf/next[.]php

hxxps://serverrouter.ga/next[.]php

hxxps://serversrouter.cf/next[.]php

hxxps://serversrouter.gq/next[.]php

hxxps://nwa-oma.ml/next[.]php

발신자 이메일 주소

yongbinxu@haierbiomedical[.]com

DNS SOA 주소

rahim[@]protonmail[.]com

kilode[@]cock.li.

추가 관련 URL

hxxps://mailerdeamon[.]cf

hxxps://mailerdeamon[.]ga

hxxps://mailerdeamon[.]gq

hxxps://mailerdeamon[.]ml

hxxps://mailerdeamon[.]tk

hxxps://routermanager[.]tk

hxxps://routermanagers[.]tk

hxxps://serverrouter[.]tk