• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

석유 조직들 공격 중인 멀웨어 ‘샤문 3’, 쿠란 구절도 포함 2018.12.24

디스크 와이퍼 기능, 이전 샤문 공격에 사용되던 것과 달라
피해자는 절대 볼 수 없는 쿠란 메시지도 들어 있어...이란 유력

[보안뉴스 문가용 기자] 최근 다시 나타난 샤문(Shamoon) 멀웨어의 변종인 ‘샤문 3’에 대한 관심이 보안 업계에서 이어지고 있다. 지속되는 분석을 통해서 새로운 사실들이 하나 둘 발굴되고 있는데, 최근 소식에 의하면 ‘이란’과의 연결고리가 하나 더 추가되었다고 한다.

[이미지 = iclickart]


최근 발견된 샤문 3은 현재까지 중동을 중심으로 여러 석유 관련 조직들을 공격하는 데 사용된 것으로 보인다. 이탈리아의 석유 드릴 회사인 사이펨(Saipem)과, 사우디아라비아 및 UAE의 몇몇 조직들이 당했다. 보안 업체 맥아피(McAfee)는 “공격자들이 석유, 가스, 통신, 에너지, 정부 기관들을 노리고 있다”고 분석했다.

그런데 보안 업체 시만텍(Symantec)이 “샤문 3에 당한 사우디아라비아의 조직은 이란의 해킹 단체인 APT33 혹은 엘핀(Elfin)이 실시한 표적형 공격에도 당한 바 있다”고 주장하며, “이 조직에서 스톤드릴(Stonedrill)이라는 샤문 기반 멀웨어가 발견됐다”고 ‘이란’을 배후 세력으로 언급했다.

그 후 맥아피도 자사 블로그를 통해 “샤문 3의 배후에 APT33이나 APT33인 척하는 자들이 있다”고 올렸다. 또 다른 보안 업체인 파이어아이(FireEye)가 APT33에 대해 설명한 보고서 내용과 샤문 3에서 발견된 흔적들이 여러 모로 닮았다는 게 그 이유였다. 특히 툴과 도메인이란 부분에서 많은 부분이 겹친다고 한다.

최근에는 보안 업체 맥아피와 팔로알토 네트웍스(Palo Alto Networks)는 샤문 3에 대한 추가 분석을 실시했다. 그 결과 로더(loader)와 스프레더(spreader) 요소를 발견할 수 있었다. 로더가 스프레더를 다운로드 받아 실시하면, 이 스프레더가 와이퍼(wiper)를 다운로드 받아 네트워크를 통해 퍼트리는 식으로 움직이고 있었다.

이 때 스프레더는 별도의 텍스트 파일에 저장된 정보를 바탕으로 네트워크 내에서 횡적으로 움직이는 게 가능했다. 텍스트 파일 내 정보는 공격자들이 이전 정찰 단계에서 수집한 것으로 보였다. 와이퍼를 원격에서 실생하는 요소는 또 따로 있었다.

“와이퍼는 시스템 내 파일들을 덮어쓰는 기능을 가지고 있는데, 이전 샤문 1과 샤문 2 공격에서는 발견할 수 없었던, 새로운 요소였습니다. 샤문 1과 샤문 2에서 사용됐던 와이퍼는 디스크트랙(DiskTrack)이었습니다. 이번에 등장한 와이퍼는 SlHost.exe라는 파일 내에 숨겨져 있으며, C#으로 작성되어 있습니다. 또한 오픈소스 윈도우 툴인 슈퍼딜리트(SuperDelete)를 기반으로 하고 있더군요.” 팔로알토 네트웍스의 전문가들은 “그렇다고 슈퍼딜리트에 있는 모든 기능이 활용되고 있는 건 아니”라고 덧붙였다.

다른 재미있는 요소도 발견됐다. 공격자들이 이전 샤문 멀웨어들에 없었던 아스키코드 이미지를 추가한 것이다. “아랍어 쿠란에서 인용된 구절이 아스키코드로 작성되어 있더군요. ‘화염의 아버지 아부 라합의 두 손이 사라질지어다’라는 정도의 내용이었습니다.” 하지만 이 아스키코드 이미지는 피해자들에게 노출될 수가 없었다. 시스템이 전부 삭제된 상태에서 부팅조차 되지 않기 때문에 아스키코드가 화면에 나타날 기회를 갖지 못했기 때문이다. “이 이미지는 코드 분석가들만 볼 수 있습니다.”

팔로알토 네트웍스는 “이런 식의 종교적인 문구는 공격자들의 의도를 어느 정도 알 수 있게 해주는 중요한 단서”라며, “이전 샤문 1과 샤문 2 공격에서 발견된 디스크트랙 와이퍼 역시 정치 및 종교적인 이미지를 동반한 바 있다”고 지적했다. “이전 공격자와 지금 공격자가 동일할 수 있다는 뜻이 되며, 공격자들이 새로운 와이퍼를 손에 넣어 디스크트랙을 보강했다고 볼 수 있습니다.” 이전 샤문 공격의 용의자들 중에는 이란이 있다.

3줄 요약
1. 오랜만에 나타난 샤문 멀웨어, 보안 업체들의 지속적인 관심 끌고 있음.
2. 핵심 기능인 와이퍼 요소가 이전 공격과 다른, 새로운 것. 슈퍼딜리트를 기반으로 하고 있음.
3. 아스키코드로 만들어진 종교적 메시지도 들어 있음. 이란을 가리키는 증거들 나오기 시작.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>