한노총,우정노조,화학노조 악성코드 유포 (APT 침입 대응 필요)

한노총을 포함한 노조 웹 서비스들을 이용한 악성코드 유포 – 워터링홀 공격

각 노조에 소속된 조합원들이 있는 기업 및 단체에서는 내부 APT 형태의 악성코드 침입 가능성 높으므로, 대응이 필요합니다.

• 최근 악성코드 유포는 국내 사용자 방문이 많은 웹 서비스에 악성링크를 삽입하여, 금융정보 탈취형 악성코드 이외에도 백도어들이 몇 주째 지속해서 유포되고 있는 상황이 지속되고 있는 가운데, 노동조합 구성원들이 방문하는 웹 사이트에 악성링크를 삽입하여 악성코드를 유포하는 정황이 탐지되었다.

한노총 : 한국 노동조합 총연맹 – 국내 최대 노동조합 연합. 단위노조 3374개 소속

우정노조: 전국 규모의 최대 단일 노조 – 우체국 종사원 노조 . 8개본부 5개 지부

화학노조: 화학 관련 산업 노동조합의 연합단체 . 2011년 428개 조직, 17개 업종

 

• 위협경보의 "경고"레벨 상향 이후에도 활동이 활발하게 관찰되고 있다. 위험 수준 하향을 위해 빛스캔에서 수집된 정보를 이용하여 문제를 줄이고자 한다.

   

최근까지도 학원, 파일공유(P2P), 병원, 커뮤니티 등 불특정다수가 많이 방문하는 웹 서비스를 통한 악성코드의 감염이 활발하게 지속되고 있고, 특정 노동조합원들이 많이 방문하는 곳으로 전국 한국노동조합총연맹 서비스에 최근 2~3주 가량 지속해서 악성코드 감염이 발생되는 사안이 관찰되고 있다.

 

노동조합의 대표적인 한국노동조합총연맹 웹 서비스에 악성코드의 유포가 4월 14일경부터 계속되고 있는 상황이며, 5월 2주차에는 전국우정노동조합과 전국화학노동조합의 웹 서비스에서도 악성코드 유포 정황이 탐지되었다. 노동조합에 가입한 인원들과 접속을 하는 인원들이 대부분 현업에 종사하고 있는 직원이라고 볼 때 내부 침투용도로도 다양하게 사용될 수 있으며, 중요 기밀들에 대한 노출도 가능할 것으로 판단된다. 우정노조와 화학노조의 경우에는 전국의 우체국과 화학 관련 산업 종사자들을 악성코드에 감염 시킨 이후 추가적인 공격을 통해 영향을 미칠 수 있으므로 높은 수준의 주의가 필요하다.

 

최근 유포이력을 살펴보면 한국노동조합총연맹은 4월 14일 ~ 5월 14일 까지 악성코드의 영향을 받았으며, 일부는 대량 감염을 위해 형성된 다단계유포망(MalwareNet)과 결합이 되어 유포되는 현상도 관찰되었다.

 

[그림 1. 한국노동조합총연맹 웹 사이트 - 악성코드 유포 4월14일 ~ 5월15일]

 

[그림 2. 전국우정노동조합 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

 

[그림 3. 전국화학노동조합연맹 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

4.14일 한국노동조합총연맹 웹 사이트에 두 종류의 공격팩이 삽입된 악성링크 사례

경유지: inknara.co.kr/shop/xxxx/./index.html (공격코드 - 공다팩)
경유지1: 199.188.107.xx/xxx.html (공격코드 - 카이홍팩)

 

사용된 취약점 종류

3544-0507-1723-4681-5076-1889-0422-2465-0634 (gondad exploit kit)

3544-2140-4681-0422-1889-4969-3897-0634 (caihong exploit kit)

 

최종다운로드 링크: www.xxxxxxxx.co.kr/shop/haap.exe

최종다운로드 링크: 199.188.107.xxx/kbs.exe

바이너리 기능: 백도어, 파밍

 

5월 15일 현재 ( 13일 출현) – 한국노총, 우정노조, 화학노조 모두 동일 악성코드 감염

 

경유지: gangpan.co.kr/xxxx/index.html

경유지1: http://websmedia.co.kr/xxxxxx/index.html

 

공격유형: 3544-0507-1723-4681-5076-1889-0422-2465-0634 (공다팩)

최종 다운로드 : http://174.139.149.xxxx/zz.exe

바이너리기능: 백도어, 파밍

 

웹 사이트를 통해 접속자를 공격하는 기법은 공다팩(Gondad Pack) 이 사용되었다. 특히, 악성링크가 시간차이를 두고 교체되는 과정에서 기존에는 공격도구는 바뀌지 않았으나, 이번에 이용되는 과정에서는 공격도구도 함께 바뀌는 모습도 관찰되었으며 이들은 모두 파밍 악성코드로 확인되었다. 이들은 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능(좀비PC)도 동시에 가지고 있는 상태라서 위험성은 개인의 금융정보 탈취에만 국한 되지는 않는다.

 

현재 노동조합 관련 사이트를 크롬으로 방문 시에는 경고창이 활성화 되는 것을 볼 수 있으며, 유포가 발생 되었음을 간접으로 확인 할 수 있다.

 

 

최근 한국 인터넷의 위협레벨을 경고로 상향시킨 이후 관찰을 강화하고 있으며, 관찰 도중 발견된 공격자 서버에서 상당수의 좀비PC가 관리되고 있는 모습과 다수의 공인인증서도 수집해 놓은 상황이 관찰된 바도 있다.

 

특히, 최근에는 MalwareNet에 연동된 형태로서 상위 악성링크의 내용이 변경될 때마다, 공격 내용과 최종 악성파일이 변경 되는 형태도 계속해서 관찰이 되고 있어서, 시급한 대응이 요구되는 상태이다.

 

노동조합을 대상으로 한 악성코드 유포 시도가 많지는 않았지만, 최근 4월초에 지속적으로 발견이 되고 있다. 웹 서비스를 통해 악성코드가 유포되거나, 최종 악성파일이 업로드 되는 상황은 이미 공격자가 내부에 대한 접근 권한을 가진 상황이라고 볼 수 있다.

 

현재 빛스캔은 210만개 웹서비스 (국내 180만개, 해외 30만개)에 대해서 대량 악성코드 유포를 모니터링하고 있으며, 그 관찰의 결과를 매주 수요일 정보제공 서비스를 통해서 제공하고 있다. 기사 내용 문의 및 정보제공 서비스 문의 info@bitscan.co.kr