해커들, Microsoft 도구를 이용해 석유 및 가스 인프라에 침투

연구자들은 Microsoft ClickOnce 클라우드 오브스케이션을 통해 에너지 시스템을 공격하고, RunnerBeacon이라는 강력한 백도어를 사용하는 은밀한 맬웨어 캠페인을 밝혀냈습니다.

Trellix 연구팀은 “OneClik”이라는 새로운 사이버 공격을 파악했습니다. 이 공격은 고도화된 방법을 사용하여 에너지 및 석유 가스 회사의 보안 시스템에 침투합니다.

공격자들은 피싱 이메일을 사용하여 공격을 전달하며, 이는 마이크로소프트 ClickOnce 애플리케이션을 사용하여 사용자들이 가짜 하드웨어 분석 도구를 통해 해로운 소프트웨어를 설치하도록 속입니다.

피해자는 링크를 열어 가짜 도구를 다운로드하고, 이후 ‘dfsvc.exe’가 실행합니다. 이는 합법적인 윈도우 프로세스로, 고급 프로그래밍 기술을 통해 숨겨진 악성 소프트웨어를 받아들입니다.

한 번 내부로 침투하면, 이 멀웨어는 “RunnerBeacon”이라는 백도어를 설치하며, 이는 조용히 해커가 제어하는 서버와 연결되어 Amazon 클라우드 서비스로 위장되어 거의 감지되지 않습니다.

연구원들은 Go 프로그래밍 언어로 작성된 RunnerBeacon이 매우 고급적이라고 언급합니다. 실제로, 이는 명령을 실행하고, 파일을 빼앗고, 네트워크 트래픽을 장악하며, 심지어는 안티디버깅 도구와 시스템 검사를 이용해 조사자들로부터 숨길 수도 있습니다.

연구자들은 악성 소프트웨어가 세 가지 버전으로 발전하면서 각각의 새로운 버전이 감지를 피하는 능력을 향상시키고 있으며, 이에는 안전한 가상 환경에서 작동하는지 스캔하는 것이 포함되어 있다고 보고하고 있습니다.

OneClik의 인프라는 합법적인 클라우드 트래픽과 혼합되도록 설계되었습니다. Amazon CloudFront와 Lambda 서비스는 신뢰할 수 있는 기업 네트워크 도구로서 악성 소프트웨어의 통신을 숨기는 역할을 합니다.

게다가, ‘땅에서 생활하기’라는 접근법은 일상의 디지털 활동에 통합함으로써 회피 능력을 가능하게 하며, 이로 인해 탐지가 더 어려워집니다.

연구자들은 OneClik이 누구에 의한 것인지 확인할 수 없다고 말합니다. 그러나 이 사이버 작전은 중요 인프라 시스템을 목표로 하는 장기간의 정교한 전략을 보여줍니다.