번호가 매겨진 판다

Numbered Panda
번호가 매겨진 판다
나라 중화인민공화국
나뭇가지China Emblem PLA.svg 인민해방군
유형사이버 포스
고급 지속적 위협
역할사이버전
전자전
계약

번호가 매겨진 판다(IXESHE, DynCalc, DNSCALC, APT12라고도 한다)는 중국군과 연계된 것으로 추정되는 사이버 스파이 단체다.[1]이 단체는 전형적으로 동아시아의 조직을 대상으로 한다.[1]이러한 조직에는 언론 매체, 첨단 기술 기업 및 정부가 포함되며 이에 국한되지는 않는다.[2]번호가 매겨진 판다는 2009년부터 운영된 것으로 추정된다.[3]하지만, 이 그룹은 또한 2012년 뉴욕타임스의 자료 침해에 대한 공로를 인정받고 있다.[4] 그룹의 대표적인 기술 중 하나는 악성코드가 로드된 PDF 파일을 스피어 피싱 캠페인을 통해 보내는 것이다.[5]미끼문서는 일반적으로 대만에서 널리 쓰이는 중국 전통어로 쓰여져 있으며, 그 대상은 대만의 이익과 크게 연관되어 있다.[3]번호가 매겨진 판다는 그들이 사용하는 악성코드와 관련된 사이버 보안 연구를 적극적으로 찾고 있는 것으로 보인다.그룹에 대한 Arbor Networks의 보고가 있은 후, FireEye는 향후 탐지를 피하기 위해 이 그룹의 기법의 변화를 알아차렸다.[1]

검색 및 보안 보고서

Trend Micro는 2012년 백서에서 Numbered Panda에 대해 처음 보고했다.[5]연구원들은 이 그룹이 약 2009년부터 주로 동아시아 국가들을 상대로 익세쉬 악성코드를 이용해 스피어 피싱 캠페인을 벌였다는 것을 발견했다.[5]CrowdStrike는 2013년 블로그 게시물인 Whois Numbered Panda에서 이 그룹에 대해 더 자세히 논의했다.[2]이 게시물은 2012년 뉴욕타임스에 대한 공격과 2013년 이후 이 공격에 대한 보도를 이은 것이다.[4]아보르 네트워크는 2014년 6월 번호판다가 대만과 일본을 공략하기 위해 이텀봇을 사용했다는 내용의 보고서를 발표했다.[3]2014년 9월, 파이어아이는 그룹의 진화를 강조하는 보고서를 발표했다.[1]파이어아이(FireEye)는 수목 네트워크(Arbor Networks) 보고서 발표를 번호판다의 전술 변화와 연결했다.[1]

공격

동아시아 국가(2009~2011년)

트렌드 마이크로는 동아시아 정부, 전자제품 제조업체, 통신회사 등을 상대로 한 캠페인에 대해 보도했다.[5]번호가 매겨진 팬더가 악의적인 첨부 파일을 사용하여 스피어 피싱 전자 메일 캠페인을 벌였다.[5]종종 악의적인 이메일 첨부파일은 CVE를 악용한 PDF 파일이다. 2009-4324, CVE-2009-09274, CVE-2011-06095 또는 CVE-CVE-2011-0611 취약성 Adobe Acrobat, Adobe Reader 및 Flash Player.[5]공격자들은 또한 Microsoft Excel - CVE-2009-3129에 영향을 미치는 공격을 사용했다.[5]이 캠페인에 사용된 Ixeshe 악성코드는 번호가 매겨진 팬더가 모든 서비스, 프로세스 및 드라이브를 나열하고, 프로세스와 서비스를 종료하고, 파일을 다운로드하고 업로드하고, 프로세스와 서비스를 시작하고, 희생자의 사용자 이름을 얻고, 시스템의 이름과 도메인 이름을 얻고, 임의 파일을 다운로드하고 실행하며, 지정된 기간 동안 시스템이 일시 중지되거나 중단되도록 했다.시간(분), 원격 셸 생성, 모든 현재 파일 및 디렉터리 나열.[5]설치 후, Ixeshe는 명령 및 제어 서버와 통신하기 시작했다; 종종 세 대의 서버가 이중화를 위해 하드 코딩되었다.[5]번호가 매겨진 Panda는 종종 피해자들의 네트워크 인프라에 대한 통제력을 높이기 위해 이러한 명령과 제어 서버를 만들기 위해 손상된 서버를 사용했다.[5]이 기술을 사용하여, 그 그룹은 2012년까지 60대의 서버를 축적했다고 여겨진다.[5]이 캠페인에서 사용된 지휘통제 서버의 대다수는 대만과 미국에 있었다.[5]Base64는 손상된 컴퓨터와 서버 사이의 통신에 사용되었다.[5]Trend Micro는 일단 해독된 통신 방식은 컴퓨터 이름, 로컬 IP 주소, 프록시 서버 IP와 포트, 멀웨어 ID 등을 상세히 기술한 표준화된 구조라는 것을 발견했다.[5]CrowdStrike의 연구원들은 네트워크 트래픽이 보다 합법적으로 보이도록 하기 위해 명령-제어 인프라에서 블로그와 워드프레스 사이트가 자주 사용된다는 것을 발견했다.[2]

일본 및 대만(2011~2014년)

식목 보안 보고서에 따르면 넘버 판다들은 2011년 이텀봇 악성코드를 이용해 일본과 대만을 상대로 캠페인을 시작했다.[3]이전에 관찰된 캠페인과 마찬가지로 공격자는 PDF, Excel 스프레드시트 또는 Word 문서와 같은 미끼 파일을 전자 메일 첨부 파일로 사용하여 피해자의 컴퓨터에 액세스할 수 있다.[3]관찰된 대부분의 문서는 중국 전통 문서로 작성되었으며, 대만의 정부 이익과 관련된 것이 보통이며, 대만의 다가오는 회의와 관련된 파일도 몇 개 있다.[3]이텀봇은 일단 악성 파일을 다운로드해 피해자가 추출한 뒤 오른쪽에서 왼쪽으로 오버라이드(override) 공격 방식을 이용해 피해자를 속여 악성코드 설치 프로그램을 다운로드하게 한다.[3]식목 보안에 따르면, 이 기술은 악성 프로그램 작성자들이 악의적인 파일의 이름을 위장하는 간단한 방법이다.파일 이름에 숨겨진 유니코드 문자는 뒤에 오는 문자의 순서를 반대로 하여 예를 들어 .scr 이진 파일이 .xls 문서로 나타나게 된다."[3]악성코드가 설치되면 RC4 키로 명령 및 제어 서버에 요청을 보내 후속 통신을 암호화한다.[3]Ixeshe 악성코드와 마찬가지로 번호 매겨진 팬더는 Base64 인코딩 문자를 사용하여 손상된 컴퓨터에서 명령 및 제어 서버로 통신했다.[3]이텀봇은 대상 컴퓨터가 프록시를 사용하고 있는지 판단할 수 있으며 프록시 설정을 우회해 직접 연결을 설정한다.[3]통신이 설정되면 악성코드는 감염된 컴퓨터에서 NetB가 설치된 서버로 암호화된 메시지를 전송한다.희생자의 시스템, 사용자 이름, IP 주소, 시스템에서 프록시를 사용하고 있는 경우 IOS 이름.[3]

FireEye는 2014년 5월 식목 보안 보고서 에텀봇을 자세히 보고 난 후 Numbered Panda가 악성코드의 일부를 바꾼 것을 발견했다.[1]파이어아이(FireEye)는 앞서 사용하던 프로토콜과 문자열이 2014년 6월에 변경된 것을 주목했다.[1]파이어아이 연구진은 이 변화가 악성코드가 추가 탐지를 회피하는 데 도움을 주기 위한 것이라고 믿고 있다.[1]FireEye는 이 새로운 버전의 Etumbot HighTide를 명명했다.[1]번호가 매겨진 판다는 악의적인 첨부파일과 함께 스피어 피싱 이메일 캠페인을 통해 대만을 계속 공략을 이어갔다.[1]첨부된 Microsoft Word 문서는 CVE-2012-0158 취약성을 이용하여 HighTide 전파에 도움을 주었다.[1]파이어아이(FireEye)는 일부 스피어 피싱에 손상된 대만 공무원 이메일 계정이 사용된 사실을 발견했다.[1]HighTide는 HTTP GET 요청이 사용자 에이전트, HTTP Uniform Resource Identifier의 형식 및 구조, 실행 파일 위치, 이미지 베이스 주소를 변경했다는 점에서 Etumbot와 다르다.[1]

뉴욕타임스(2012년)

번호가 매겨진 판다는 2012년 말 뉴욕 타임즈의 컴퓨터 네트워크 위반에 책임이 있는 것으로 여겨진다.[6][4]이번 공격은 뉴욕타임스(NYT)가 제6대 원자바오(溫家寶) 중국 국무원 총리의 친인척들이 "기업 거래를 통해 수십억 달러 상당의 재산을 축적했다"[4]는 내용의 기사를 게재한 뒤 발생했다.공격을 개시할 때 사용된 컴퓨터는 중국군이 미군 계약자를 공격하기 위해 사용한 것과 동일한 대학용 컴퓨터인 것으로 추정된다.[4]번호가 매겨진 팬더는 업데이트된 버전의 악성 프로그램 패키지 옴립과 익세쉬를 사용했다.[6]업데이트된 옴립은 번호판다가 POST 요청의 본문을 인코딩하여 피해자의 BIOS, 외부 IP, 운영 체제를 수집할 수 있도록 했다.[6]새로운 버전의 Ixeshe는 Ixeshe 관련 감염을 감지하도록 설계된 기존 네트워크 트래픽 서명을 피하기 위해 이전 버전의 네트워크 트래픽 패턴을 변경했다.[6]

참조

  1. ^ a b c d e f g h i j k l m Moran, Ned; Oppenheim, Mike (3 September 2014). "Darwin's Favorite APT Group". Threat Research Blog. FireEye.
  2. ^ a b c Meyers, Adam (29 March 2013). "Whois Numbered Panda". CrowdStrike.
  3. ^ a b c d e f g h i j k l "Illuminating the Etumbot APT Backdoor" (PDF). Arbor Networks. June 2014.
  4. ^ a b c d e Perlroth, Nicole (2013-01-30). "Chinese Hackers Infiltrate New York Times Computers". The New York Times. ISSN 0362-4331. Retrieved 2017-04-24.
  5. ^ a b c d e f g h i j k l m n Sancho, David; Torre, Jessa dela; Bakuei, Matsukawa; Villeneuve, Nart; McArdle, Robert (2012). "IXESHE: An APT Campaign" (PDF). Trend Micro.
  6. ^ a b c d "Survival of the Fittest: New York Times Attackers Evolve Quickly « Threat Research Blog". FireEye. Retrieved 2017-04-24.