건설 및 엔지니어링 위협 인텔리전스

건설 및 엔지니어링 산업을 표적으로 하는 사이버 위협

건설 및 엔지니어링 산업에 속한 조직들은 다음과 같은 목표를 추진하는 지능형 지속적 위협(APT)1 그룹의 사이버 위협에 직면해 있습니다.
  • 국유 기업들과 국내 건설 및 엔지니어링 산업을 발전시키는 데 도움을 주는 기술 혁신, 전문성 및 공정과 관련된 지적 재산의 유출 시도.
  • 후원하는 정부에 자체 국내 프로젝트를 촉진하기 위해 사용할 수 있는 통찰력을 제공하기 위해 정부, 기반시설 또는 대규모 도시 개발과 같은 주목 받는 프로젝트에 참여하는 외국 기업의 데이터에 접근.
  • 입찰 프로젝트들과 관련된 국유 기업이 경쟁 업체들보다 높은 가격으로 낙찰 및 수주하고, 외국 회사와 협력할 것을 고려하는 후원 국가가 협상에서 유리한 위치와 가장 좋은 가격을 확보할 수 있도록 대외 경쟁에 대한 모니터를 시도.
건설 및 엔지니어링 사이버 위협
위협 목표 및 산업 전망

건설 및 엔지니어링 산업은 제조, 에너지, 운송, 항공우주, 국방과 같은 다양한 산업에 기여하고 있기 때문에, 이 부문은 국가의 후원을 받아 사이버 스파이 활동을 수행하는 위협 범죄자들로부터 계속 주목 받는 표적이 될 가능성이 있습니다. 또한 저희는 개발도상국들의 도시 개발 및 기반 시설 투자가 증가함에 따라 이러한 산업들이 더 많은 표적이 될 것이고, 후원 국가의 정부가 공격자들의 활동을 촉진하고 비용 절감을 지원하기 위한 정보를 입수하려고 시도할 것으로 예상합니다. 저희는 국가가 후원하는 공격자들이 국내 회사들에게 미래의 경쟁 우위를 제공하기 위해 피해자 회사들의 지적 재산과 비즈니스 정보(혁신적인 자료를 사용 또는 마케팅하여 보다 효율적으로 건설하기 위한 정보 등)를 유출하는 것을 자주 목격합니다.

 

저희는 최소한 25개의 지능형 위협 그룹이 다음의 소부문에서 조직들을 침해하는 것을 관찰했습니다.
  • 건축 및 엔지니어링 서비스
  • 건축 및 구조 금속 제조
  • 상업용 장비 수리 및 유지보수
  • 상업용 건설 및 중건설 시공업체
  • 건설 장비 제조
  • 전자 장비 수리 서비스
  • 전자 장비 검사 및 모니터 기계 제조
  • 엔지니어링, 과학 및 CAD/CAM 소프트웨어
  • 엔지니어링 서비스
  • 침식 방지 서비스
  • 조립 금속 제품 제조
  • 산업용 제어 제품 제조
  • 기계 제조
  • 금속 밸브 및 파이프 부품 제조
  • 강철 생산
  • 터빈 제조
건설 및 엔지니어링 회사로부터 유출되는 데이터
  • 영업 및 재무 문서
  • 정부 브리핑, 보고서 및 기록
  • 인사 문서
  • 사내 통신
  • 법률 문서
  • 네트워크 인프라 문서
  • 제품 설계, 청사진, 사용 설명 및 교육 자료
  • 테스트 결과 및 보고서

 


사례연구: 위협 범죄자들이 산업 에너지 장비 제조업체의 데이터 유출

저희는 이전에 에너지 부문의 산업 인프라를 개발한 회사에 대한 침해를 조사하여 위협 범죄자들이 기본 인증으로 구성된 인터넷 연결 웹서버를 침해한 것을 발견했습니다. 위협 범죄자들은 회사 시스템에 원격 접속할 수 있는 웹셸을 설치했습니다. 도메인 계정 인증 및 네트워크 정보를 수집한 후 위협 범죄자들은 기업 환경으로 이동하여 암호화된 RAR 파일을 생성한 후 네트워크에서 제거하기 시작했습니다. 위협 범죄자들은 두 달 후 회사가 이 문제를 해결할 때까지 계속 기업 환경에 접속하여 데이터를 제거했습니다.


악성코드가 탐지된 건설

상위 악성코드 탐지

FireEye는 공격자들이 다음과 같은 표적 악성코드군을 사용하여 건설 및 엔지니어링 기업들을 침해하는 것을 가장 자주 탐지했습니다.

LEOUNCIA 이 백도어는 파일을 업로드 및 다운로드하고, 실행 파일을 시작하고, 임의 셸 명령을 실행하고, 프로세스를 열거 및 차단하고, 디렉토리 리스트를 입수하고, HTTP 요청을 사용하여 명령 및 제어(C2) 서버와 통신하는 능력이 있습니다.
LV(별칭 NJRAT)는 키스트로크 로깅, 인증 수집, 리버스 셸 접속, 파일 업로드 및 다운로드, 파일 및 레지스트리 변경에 대한 능력이 있는 공개적으로 사용 가능한 원격 접속 툴(RAT)입니다. 또한 공격자들에게 새로운 변종을 작성하는 "빌더(builder)" 특성을 제공합니다.
GH0STRAT GH0STRAT는 공개적으로 사용 가능한 소스 코드로부터 추출되는 RAT입니다. 이 악성코드는 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
9002 9002(별칭 HOMEUNIX)는 메모리 버퍼에 저장된 후에 악성코드에 의해 수동으로 로드 및 연결되는 플러그인에 주로 사용하는 일반적인 런처입니다. 따라서 플러그인은 디스크에 접촉할 필요가 전혀 없습니다. 또한 이 백도어는 플러그인을 저장 또는 보관할 수도 있고, 그 다음에 공격자가 플러그인을 피해자 시스템으로 다시 보낼 필요가 없이 시스템을 재시동한 후에 실행됩니다.
SpyNet SpyNet는 공개적으로 사용 가능한 RAT로, 공격자가 원격 셸을 통해서 침해된 시스템과 대화하고, 파일을 업로드 및 다운로드하고, 레지스트리와 대화하고, 프로세스 및 서비스를 시작 및 중지하는 것을 허용합니다. 이 RAT는 데스크탑의 이미지를 캡처하고, 웹캠 및 오디오 입력을 녹화 또는 녹음하고, 저장된 패스워드를 추출하고, 침해된 시스템을 프록시 서버로 전환할 수 있습니다. 또한 키로깅 기능과 안티디버깅/안티 가상 머신 방어 메커니즘이 있습니다.

상위 크라임웨어 탐지

FireEye의 싱크홀과 동적으로 공유하는 위협 데이터는 다음과 같은 크라임웨어 변종들이 건설 및 엔지니어링 부문에서 가장 흔히 탐지되었다는 것을 보여줍니다.

POWESSERE(별칭 Poweliks)는 윈도우즈 레지스트리 내에 완전히 존재하는 "파일 없는" 악성코드입니다. 종종 Canada Post 또는 USPS 및 마이크로소프트 오피스 익스플로잇 관련 제목으로 피싱 이메일을 통해 시스템에 설치되는 Powessere는 감염된 시스템에 파일을 설치하지 않지만 윈도우즈 레지스트리 내에 완전히 존재합니다. 자동 실행 키에 저장된 인코딩된 자바스크립트를 통해 시작되어 단계별로 실행됩니다. 완전히 설치된 후, 메모리에 상주하는 동적 링크 라이브러리(DLL)는 기본 시스템 정보를 수집하고 추가 악성코드를 다운로드할 수 있습니다.
Kovter는 랜섬웨어의 한 형태입니다. 감염된 시스템을 통제할 때, 알려진 포르노 웹사이트 목록에 대해 사용자 브라우저 기록을 확인하고, 일치하는 기록이 발견되는 경우 위법 행위가 의심되어 컴퓨터가 법률 집행 기관에 의해 압수되었다고 위협하는 대화상자가 표시됩니다. Kovter는 시스템 잠금을 해제하기 위해 지불을 요구합니다.
Fareit(별칭 Pony Loader, InfoStealer)는 감염된 시스템이 배포된 서비스 거부(DDoS) 공격에 참여하고 추가 악성코드를 다운로드하도록 할 수 있는 정보 유출 트로이 목마 바이러스입니다.
Perlbot는 취약한 컨텐츠 관리 시스템 또는 PHP 같은 컴포넌트를 실행할 수 있는 웹 서버를 표적으로 하는 Perl로 작성된 악성코드입니다. 이 악성코드가 취약한 시스템을 발견하는 경우, HTTP 쿼리 문자열 내의 명령줄 옵션을 통해 임의 코드를 시도 및 실행하고 추가 코드를 다운로드 및 실행할 수 있는 봇을 제공합니다. 일반적으로 이러한 침해는 비트코인 채굴과 관련되어 있지만 또한 중요한 정보를 원격 제어하고 유출하기 위해 서버를 노출할 가능성도 있습니다.
Cyptowall(별칭 Crowti)는 피해자의 엔드포인트에서 파일을 암호화하고 C2 통신을 위해 어니언 라우터(TOR)를 사용하는 랜섬웨어입니다.

 

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.