IBM X-Force 인시던트 대응 및 인텔리전스 서비스(IRIS) 팀에서 작성했습니다.
IBM X-Force 인시던트 대응 및 인텔리전스 서비스(IRIS) 팀의 연구원들은 걸프만 국가 조직에 대한 최신 Shamoon 멀웨어 공격에 연루된 위협 행위자의 운영에서 누락된 연결 고리를 발견했습니다. 2016년 11월과 2017년 1월에 발생한 이러한 공격은 사우디아라비아와 걸프만 국가의 여러 정부 및 민간 조직에 있는 수천 대의 컴퓨터에 영향을 미쳤습니다. Shamoon은 유료로 데이터를 인질로 잡는 랜섬웨어와 달리, 마스터 부트 레코드(MBR)와 데이터를 복구 불가능하게 삭제하여 컴퓨터 하드 드라이브를 파괴하도록 설계되었습니다.
IBM 포렌식 분석가들은 최근 조사를 통해 표적 인프라에 파괴적인 Shamoon 멀웨어를 배포한 초기 침해 벡터와 침해 후 작업을 정확히 규명했습니다. X-Force IRIS에 따르면 초기 침해는 실제 Shamoon 배포 및 활성화가 시작되기 몇 주 전에 발생했다는 점을 언급할 필요가 있습니다.
Shamoon 인시던트에는 표적 공격의 침투 및 에스컬레이션 단계가 있기 때문에 X-Force IRIS 대응자들은 공격자의 진입점을 찾았습니다. 그 결과, 공격자가 사용한 초기 손상 지점으로 보이는 것이 발견되었는데, 이 문서에는 실행이 승인되면 PowerShell을 통해 공격자의 서버 및 원격 셸과 C2 통신을 가능하게 하는 악성 매크로가 포함되어 있었습니다.
최근 공격에서 발견된 문서는 이 문서 하나뿐만이 아니었습니다. X-Force IRIS 연구원들은 이력서 및 인사 문서를 주제로 한 유사한 PowerShell이 포함된 악성 문서와 관련된 초기 활동을 추적해 왔으며, 그 중 일부는 사우디아라비아의 조직과 관련이 있었습니다. 이 연구에서는 지난 몇 개월 동안 발생한 여러 차례의 공격 활동을 파악했으며, 이를 통해 공격자가 웹 서버에서 대상에게 악성 문서 및 기타 멀웨어 실행 파일을 제공하여 네트워크의 초기 보안 구축을 위해 초기 공격을 가하는 유사한 운영 방법이 밝혀졌습니다.
Shamoon은 이전에도 연구 블로그에 기록된 바 있지만, 공격으로 이어진 구체적인 네트워크 침해 방법은 보고된 사례에서 여전히 불분명합니다. X-Force IRIS 연구진은 Shamoon의 공격 라이프사이클을 연구하고 사우디아라비아에 기반을 둔 조직과 민간 부문 기업에서 Shamoon의 전술을 관찰했습니다. 이 연구를 통해 최근 공격에서 Shamoon을 사용한 공격자가 초기 네트워크 진입점 확보 및 후속 작전을 수행하기 위해 PowerShell을 활용하도록 설계된 무기화된 문서에 크게 의존했다고 판단하게 되었습니다.
그림 1: Shamoon 공격 - 이벤트의 논리적 흐름
X-Force IRIS는 아래와 같은 악성 문서를 식별했습니다.
연구원들은 첫 번째 악성 파일인 mol.com-ho[.]me를 호스팅한 도메인을 조사했습니다. 도메인의 WHOIS 레코드에 따르면 익명의 등록자가 2016년 10월에 com-ho[.]me를 등록하고 유사한 매크로 활성화 기능을 갖춘 악성 문서를 제공하는 데 이 도메인을 사용했습니다. 다음 문서 목록이 포함되어 있습니다:
이러한 파일은 직원들이 자신도 모르게 악성 페이로드를 실행하도록 유도하기 위해 스피어 피싱 이메일을 통해 전달되었을 가능성이 높습니다.
파일 이름을 자세히 살펴본 결과 'IT Worx'와 'MCI'가 밝혀졌습니다. IT Worx라는 이름을 검색하면 이집트에 본사를 둔 글로벌 소프트웨어 전문 서비스 조직이 나타납니다. MCI는 사우디아라비아의 상무투자부(Ministry of Commerce and Investment)입니다. 이러한 이름은 사우디아라비아에 거주하는 직원에게 무해한 것처럼 보이고 첨부 파일을 열도록 유도하기 때문에 스피어 피싱 이메일에 사용되었을 수 있습니다.
X-Force IRIS 연구원들은 또한 악성 문서의 배후에 있는 위협 행위자가 Briefl[.]ink/{a-z0-9}[5] 패턴의 URL 단축 체계를 사용하여 다수의 문서에 서비스를 제공한다는 사실을 발견했습니다.
다음 그림은 직원들이 Shamoon 공격에 대비하여 전송된 악성 Word 파일을 열었을 때 어떤 상황을 겪었는지 보여주는 시각적 예입니다.
그림 2: Shamoon 멀웨어 공격에 대비하여 전달된 악성 워드 문서(출처: X-Force IRIS)
Shamoon 공격과 관련된 통신 도메인에 대한 수동 DNS 결과는 관련 네트워크 인프라를 밝혀 위협 행위자가 사용하는 추가 도메인을 식별했습니다.
X-Force IRIS는 위협 행위자가 ntg-sa[.]com에서 호스팅되는 서버에서 하나 이상의 악성 실행 파일을 호스팅하고 있음을 발견했습니다. 이 파일은 동일한 C2 통신에 PowerShell을 호출하기 위해 Windows 배치를 드롭하는 것이 Flash Player 설치 프로그램이라고 믿도록 대상을 속였습니다.
위협 행위자의 문서 중 하나를 분석한 결과, 매크로가 실행되면 두 개의 개별 PowerShell 스크립트가 실행되는 것으로 나타났습니다. 첫 번째 스크립트는 hxxp://139.59.46.154:3485/eiloShaegae1에서 제공되는 PowerShell 스크립트를 실행합니다. 이 호스트는 공개적으로 사용 가능한 크로스 플랫폼 원격 액세스 도구인 Pupy RAT를 사용한 공격과 관련이 있을 수 있습니다.
두 번째 스크립트는 VirtualAlloc을 호출하여 버퍼를 생성하고, memset을 사용하여 해당 버퍼에 Metasploit 관련 셸코드를 로드한 후 CreateThread를 통해 실행합니다. Metasploit은 원격 대상 시스템에 대해 익스플로잇 코드를 개발하고 실행하기 위한 도구로 널리 사용되는 오픈 소스 프레임워크입니다. 셸코드는 셸코드 시작 지점으로부터 오프셋된 위치에서 4바이트의 DWORD XOR 연산을 수행하여 코드를 변경함으로써 루프를 생성하고, 이로 인해 XOR 연산이 0x57회 계속되도록 합니다.
이 실행이 성공하면 VirtualAlloc을 사용하여 버퍼를 만들고 hxxp://45.76.128.165:4443/0w0O6에서 모든 파일 콘텐츠를 검색할 때까지 루프에서 InternetReadFile을 호출합니다. 그런 다음 PowerShell에 문자열로 반환되며, 이 문자열은 예상 페이로드가 PowerShell임을 나타내는 invoke-expression(ix)을 호출합니다.
참고로 이 매크로에는 URLDownloadToFileA를 사용하는 DownloadFile() 함수가 포함되어 있지만, 실제로 사용된 적은 없습니다.
악성 문서와 관련된 관찰을 바탕으로, Metasploit의 Meterpreter와 연관된 것으로 추정되는 후속 셸 세션이 확인되었으며, 이는 세 개의 Shamoon 관련 파일(ntertmgr32.exe, ntertmgr64.exe, vdsk911.sys) 배포에 앞서 추가 도구 및 멀웨어를 배포할 수 있도록 했습니다.
Shamoon의 전체 피해자 목록은 공개되지 않았지만 Bloomberg는 사우디 민간 항공국 본부에서 수천 대의 컴퓨터가 파괴되어 중요한 데이터가 삭제되고 며칠 동안 운영이 중단되었다고 보도했습니다.
최근 X-Force IRIS가 Shamoon 공격자들을 통해 목격한 활동은 지금까지 두 번에 걸쳐 감지되었지만, 2016년 말부터 이 사건들이 대중의 관심을 받으면서 이러한 활동은 잠잠해질 가능성이 높습니다.
사우디아라비아는 현지 조직에 Shamoon 멀웨어 경고를 발표하여 잠재적인 공격에 대해 알리고 조직에 대비할 것을 권고했습니다. Shamoon에 대한 분석과 경고로 인해 표적이 된 조직들은 공격에 대비하고 있으며, 공격자들은 다음 공격 때까지 잠적하거나 전술을 변경할 가능성이 높습니다.
이 연구 및 관련 침해 지표에 대한 기술적 세부 사항은 X-Force Exchange의 X-Force Advisory를 참조하세요.