์ด๋ ์น์ ๋ถ ํด์ปค๋ค์ด ํฐ ์ด๋ ค์์ ์ฒํด ์์ต๋๋ค. ์ฌ๋ด ๋ด๋ด ์ ์์ด ๋ฐํ์ง์ง ์์ ์ฌ๋๋ค์ด ํ
๋ ๊ทธ๋จ์ ์ด๋ ์ ๋ถ์ ์ฐ๊ณ๋ APT ๊ทธ๋ฃน์ ๋ํ ์ ๋ณด์ธ '๋น๋ฐ ์ ์ถ'์ ๊ฒ์ํ์ต๋๋ค. OilRig ะธ ํํ๋ฌผ โ ๋๊ตฌ, ํผํด์, ์ฐ๊ฒฐ. ๊ทธ๋ฌ๋ ๋ชจ๋ ์ฌ๋์ ๊ดํ ๊ฒ์ ์๋๋๋ค. ์ง๋ XNUMX์, Group-IB ์ ๋ฌธ๊ฐ๋ค์ ํฐํค๊ตฐ์ ์ํ ์ ์ ๊ตฐ์ฌ ๋ฌด์ ์ฅ์น์ ์ ์ ๋ฐฉ์ด ์์คํ
์ ์์ฐํ๋ ํฐํค ๊ธฐ์
ASELSAN A.ล์ ์ฐํธ ์ฃผ์๊ฐ ์ ์ถ๋ ์ฌ์ค์ ๋ฐ๊ฒฌํ์ต๋๋ค. ์๋์คํ์ค ํฐ์ฝ๋
ธ๋ฐ, Group-IB ์ฒจ๋จ์ํ์ฐ๊ตฌํ์ฅ, ๋ํคํ ๋ก์คํ ํ์ฒดํGroup-IB์ ์ฃผ๋์ด ๋ถ์๊ฐ์ธ ๋ ASELSAN A.ล์ ๋ํ ๊ณต๊ฒฉ ๊ณผ์ ์ ์ค๋ช
ํ๊ณ ๊ฐ๋ฅํ ์ฐธ๊ฐ์๋ฅผ ์ฐพ์์ต๋๋ค. ํํ๋ฌผ.
ํ ๋ ๊ทธ๋จ์ ํตํ ์กฐ๋ช
์ด๋ APT ๊ทธ๋ฃน์ ์ ์ถ์ ํน์ Lab Doukhtegan์ด
OilRig๊ฐ ๋ ธ์ถ๋ ํ์๋ ์ ์ถ์ ๊ณ์๋์์ต๋๋ค. ์ด๋์ ๋ ๋ค๋ฅธ ์น๊ตญ๊ฐ ๋จ์ฒด์ธ MuddyWater์ ํ๋์ ๋ํ ์ ๋ณด๊ฐ ๋คํฌ๋ท๊ณผ ํ ๋ ๊ทธ๋จ์ ๋ํ๋ฌ์ต๋๋ค. ํ์ง๋ง ์ด๋ฒ์๋ XNUMX์ฐจ ์ ์ถ๊ณผ ๋ฌ๋ฆฌ ์์ค์ฝ๋๊ฐ ๊ณต๊ฐ๋ ๊ฒ์ด ์๋๋ผ, ์์ค์ฝ๋ ์คํฌ๋ฆฐ์ท, ์ ์ด ์๋ฒ, ๊ณผ๊ฑฐ ํด์ปค ํผํด์๋ค์ IP ์ฃผ์ ๋ฑ์ด ๋คํ๋๋ค. ์ด๋ฒ์๋ Green Leakers ํด์ปค๋ค์ด MuddyWater ์ ์ถ์ ๋ํ ์ฑ ์์ ์ก์ต๋๋ค. ๊ทธ๋ค์ MuddyWater ์ด์๊ณผ ๊ด๋ จ๋ ๋ฐ์ดํฐ๋ฅผ ๊ด๊ณ ํ๊ณ ํ๋งคํ๋ ์ฌ๋ฌ Telegram ์ฑ๋๊ณผ ๋คํฌ๋ท ์ฌ์ดํธ๋ฅผ ์์ ํ๊ณ ์์ต๋๋ค.
์ค๋์ ์ฌ์ด๋ฒ ์คํ์ด
ํํ๋ฌผ 2017๋ ๋ถํฐ ์ค๋์์ ํ๋ํด์จ ๊ทธ๋ฃน์ด๋ค. ์๋ฅผ ๋ค์ด, Group-IB ์ ๋ฌธ๊ฐ๋ค์ด ์ง์ ํ ๋ฐ์ ๊ฐ์ด, ํด์ปค๋ค์ 2019๋ XNUMX์๋ถํฐ XNUMX์๊น์ง ํฐํค, ์ด๋, ์ํ๊ฐ๋์คํ, ์ด๋ผํฌ ๋ฐ ์์ ๋ฅด๋ฐ์ด์์ ์ ๋ถ, ๊ต์ก ๊ธฐ๊ด, ๊ธ์ต, ํต์ ๋ฐ ๋ฐฉ์ฐ ๊ธฐ์ ์ ๋์์ผ๋ก ์ผ๋ จ์ ํผ์ฑ ๋ฉ์ผ๋ง์ ์ํํ์ต๋๋ค.
๊ทธ๋ฃน ๊ตฌ์ฑ์์ PowerShell์ ๊ธฐ๋ฐ์ผ๋ก ์์ฒด ๊ฐ๋ฐํ ๋ฐฑ๋์ด๋ฅผ ์ฌ์ฉํฉ๋๋ค. ์ ๋ ฅ ์ํ. ๊ทธ๋ ํ ์์๋ค:
- ๋ก์ปฌ ๋ฐ ๋๋ฉ์ธ ๊ณ์ , ์ฌ์ฉ ๊ฐ๋ฅํ ํ์ผ ์๋ฒ, ๋ด๋ถ ๋ฐ ์ธ๋ถ IP ์ฃผ์, ์ด๋ฆ ๋ฐ OS ์ํคํ ์ฒ์ ๋ํ ๋ฐ์ดํฐ๋ฅผ ์์งํฉ๋๋ค.
- ์๊ฒฉ ์ฝ๋ ์คํ์ ์ํํฉ๋๋ค.
- C&C๋ฅผ ํตํด ํ์ผ ์ ๋ก๋ ๋ฐ ๋ค์ด๋ก๋
- ์ ์ฑ ํ์ผ ๋ถ์์ ์ฌ์ฉ๋๋ ๋๋ฒ๊น ํ๋ก๊ทธ๋จ์ ์กด์ฌ๋ฅผ ํ์งํฉ๋๋ค.
- ์ ์ฑ ํ์ผ ๋ถ์ ํ๋ก๊ทธ๋จ์ด ๋ฐ๊ฒฌ๋๋ฉด ์์คํ ์ ์ข ๋ฃํฉ๋๋ค.
- ๋ก์ปฌ ๋๋ผ์ด๋ธ์์ ํ์ผ์ ์ญ์ ํฉ๋๋ค.
- ์คํฌ๋ฆฐ์ท์ ์ฐ์ผ์ธ์.
- Microsoft Office ์ ํ์ ๋ณด์ ์กฐ์น๋ฅผ ๋นํ์ฑํํฉ๋๋ค.
์ด๋ค ์์ ์์ ๊ณต๊ฒฉ์๋ ์ค์๋ฅผ ์ ์ง๋ ๊ณ ReaQta์ ์ฐ๊ตฌ์์ ํ ํค๋์ ์๋ ์ต์ข IP ์ฃผ์๋ฅผ ํ๋ํ์ต๋๋ค. ์ ๋ฌธ๊ฐ๋ค์ ์ด ๊ทธ๋ฃน์ด ๊ณต๊ฒฉํ ๋ชฉํ์ ์ฌ์ด๋ฒ ์คํ์ด ํ๋๊ณผ ๊ด๋ จ๋ ๋ชฉํ๋ฅผ ๊ณ ๋ คํ ๋ ์ด ๊ทธ๋ฃน์ด ์ด๋ ์ ๋ถ์ ์ด์ต์ ๋ํํ๋ค๊ณ ์ ์ํ์ต๋๋ค.
๊ณต๊ฒฉ ์งํ์จ์ค์จ:
- ๊ฒํฌ์ฌ[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
ํ์ผ:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
๊ณต๊ฒฉ๋ฐ๊ณ ์๋ ํฌ๋ฅดํค์
10๋ 2019์ XNUMX์ผ, Group-IB ์ ๋ฌธ๊ฐ๋ค์ ํฐํค ๊ตฐ์ฉ ์ ์ ๋ถ์ผ ์ต๋ ๊ธฐ์ ์ธ ํฐํค ํ์ฌ ASELSAN A.ล์ ์ฐํธ ์ฃผ์ ์ ์ถ์ ๋ฐ๊ฒฌํ์ต๋๋ค. ํด๋น ์ ํ์๋ ๋ ์ด๋ ๋ฐ ์ ์ ์ ํ, ์ ๊ธฐ ๊ดํ, ํญ๊ณต ์ ์ ๊ณตํ, ๋ฌด์ธ ์์คํ , ์ก์, ํด๊ตฐ, ๋ฌด๊ธฐ ๋ฐ ๋๊ณต ๋ฐฉ์ด ์์คํ ์ด ํฌํจ๋ฉ๋๋ค.
Group-IB ์ ๋ฌธ๊ฐ๋ POWERSTATS ์ ์ฑ ์ฝ๋์ ์๋ก์ด ์ํ ์ค ํ๋๋ฅผ ์ฐ๊ตฌํ๋ฉด์ ๋ฏธ๋ผ๋ก ์ฌ์ฉ๋ ๊ณต๊ฒฉ์ ๊ทธ๋ฃน MuddyWater๊ฐ ์ ๋ณด ๋ฐ ๋ฐฉ์ด ๊ธฐ์ ๋ถ์ผ ์๋ฃจ์ ์ ์์ฐํ๋ ํ์ฌ์ธ Koรง Savunma์ Tubitak Bilgem ๊ฐ์ ๋ผ์ด์ผ์ค ๊ณ์ฝ์ ๋ฌธ์ํํ ๊ฒ์ผ๋ก ํ๋จํ์ต๋๋ค. , ์ ๋ณด ๋ณด์ ์ฐ๊ตฌ ์ผํฐ ๋ฐ ์ฒจ๋จ ๊ธฐ์ . Koรง Savunma์ ์ฐ๋ฝ ๋ด๋น์๋ Koรง Bilgi ve Savunma Teknolojileri A.ล์์ ํ๋ก๊ทธ๋จ ๊ด๋ฆฌ์ ์ง์ฑ ์ ๋งก์ Tahir Taner Tฤฑmฤฑล์์ต๋๋ค. 2013๋ 2018์๋ถํฐ XNUMX๋ XNUMX์๊น์ง. ๋์ค์ ๊ทธ๋ ASELSAN A.ล์์ ์ผํ๊ธฐ ์์ํ์ต๋๋ค.
์ํ ๋ฏธ๋ผ ๋ฌธ์
์ฌ์ฉ์๊ฐ ์
์ฑ ๋งคํฌ๋ก๋ฅผ ํ์ฑํํ๋ฉด POWERSTATS ๋ฐฑ๋์ด๊ฐ ํผํด์์ ์ปดํจํฐ์ ๋ค์ด๋ก๋๋ฉ๋๋ค.
์ด ๋ฏธ๋ผ ๋ฌธ์(MD5: 0638adf8fb4095d60fbef190a759aa9e) ์ฐ๊ตฌ์๋ค์ ์์ฑ ๋ ์ง ๋ฐ ์๊ฐ, ์ฌ์ฉ์ ์ด๋ฆ, ํฌํจ๋ ๋งคํฌ๋ก ๋ชฉ๋ก์ ํฌํจํ์ฌ ๋์ผํ ๊ฐ์ ํฌํจํ๋ ์ธ ๊ฐ์ ์ถ๊ฐ ์ํ์ ์ฐพ์ ์ ์์์ต๋๋ค.
- ListOfHackedEmails.doc(eed599981c097944fa143e7d7f7e17b1)
- asd.doc(21aebece73549b3c4355a6060df410e9)
- F35-์ฌ์.doc(5c6148619abb10bb3789dcfb32f759a6)
๋ค์ํ ๋ฏธ๋ผ ๋ฌธ์์ ๋์ผํ ๋ฉํ๋ฐ์ดํฐ ์คํฌ๋ฆฐ์ท
์ด๋ฆ์ด ์๋ ๋ฐ๊ฒฌ๋ ๋ฌธ์ ์ค ํ๋ ListOfHackedEmails.doc ๋๋ฉ์ธ์ ์ํ๋ 34๊ฐ์ ์ด๋ฉ์ผ ์ฃผ์ ๋ชฉ๋ก์ด ํฌํจ๋์ด ์์ต๋๋ค. @aselsan.com.tr.
Group-IB ์ ๋ฌธ๊ฐ๋ค์ ๊ณต๊ฐ๋ ์ ์ถ์์ ์ด๋ฉ์ผ ์ฃผ์๋ฅผ ํ์ธํ ๊ฒฐ๊ณผ ๊ทธ ์ค 28๊ฐ๊ฐ ์ด์ ์ ๋ฐ๊ฒฌ๋ ์ ์ถ์์ ์์๋์์์ ๋ฐ๊ฒฌํ์ต๋๋ค. ์ฌ์ฉ ๊ฐ๋ฅํ ์ ์ถ์ ํผํฉ์ ํ์ธํ๋ฉด ์ด ๋๋ฉ์ธ๊ณผ ๊ด๋ จ๋ ์ฝ 400๊ฐ์ ๊ณ ์ ๋ก๊ทธ์ธ๊ณผ ํด๋น ๋น๋ฐ๋ฒํธ๊ฐ ๋ํ๋ฌ์ต๋๋ค. ๊ณต๊ฒฉ์๊ฐ ๊ณต๊ฐ์ ์ผ๋ก ์ฌ์ฉ ๊ฐ๋ฅํ ์ด ๋ฐ์ดํฐ๋ฅผ ์ฌ์ฉํ์ฌ ASELSAN A.ล๋ฅผ ๊ณต๊ฒฉํ์ ๊ฐ๋ฅ์ฑ์ด ์์ต๋๋ค.
ListOfHackedEmails.doc ๋ฌธ์์ ์คํฌ๋ฆฐ์ท
๊ณต๊ฐ ์ ์ถ์์ ๊ฐ์ง๋ 450๊ฐ ์ด์์ ๋ก๊ทธ์ธ-๋น๋ฐ๋ฒํธ ์ ๋ชฉ๋ก ์คํฌ๋ฆฐ์ท
๋ฐ๊ฒฌ๋ ์ํ ์ค์๋ ''๋ผ๋ ์ ๋ชฉ์ ๋ฌธ์๋ ์์๋ค. F35-์ฌ์.doc, F-35 ์ ํฌ๊ธฐ๋ฅผ ์ธ๊ธํฉ๋๋ค. ๋ฏธ๋ผ๋ฌธ์๋ F-35 ๋ค๋ชฉ์ ์ ํญ๊ธฐ์ ์ ์์ผ๋ก ๊ธฐ์ฒด์ ํน์ฑ๊ณผ ๊ฐ๊ฒฉ์ ๋ช
์ํ ๊ฒ์ด๋ค. ์ด ๋ฏธ๋ผ ๋ฌธ์์ ์ฃผ์ ๋ ํฐํค๊ฐ S-35 ์์คํ
์ ๊ตฌ๋งคํ ํ ๋ฏธ๊ตญ์ด F-400 ๊ณต๊ธ์ ๊ฑฐ๋ถํ๊ณ F-35 ๋ผ์ดํธ๋ II์ ๋ํ ์ ๋ณด๋ฅผ ๋ฌ์์์ ์ ์กํ๊ฒ ๋ค๋ ์ํ๊ณผ ์ง์ ์ ์ผ๋ก ๊ด๋ จ๋์ด ์์ต๋๋ค.
์์ ๋ ๋ชจ๋ ๋ฐ์ดํฐ์ ๋ฐ๋ฅด๋ฉด MuddyWater ์ฌ์ด๋ฒ ๊ณต๊ฒฉ์ ์ฃผ์ ๋์์ ํฐํค์ ์์นํ ์กฐ์ง์ด์์ต๋๋ค.
Gladiyator_CRK์ Nima Nikjoo๋ ๋๊ตฌ์ธ๊ฐ์?
์์ 2019๋ XNUMX์์๋ ํ Windows ์ฌ์ฉ์๊ฐ Gladiyator_CRK๋ผ๋ ๋๋ค์์ผ๋ก ์์ฑํ ์ ์ฑ ๋ฌธ์๊ฐ ๋ฐ๊ฒฌ๋์์ต๋๋ค. ์ด ๋ฌธ์๋ค์ POWERSTATS ๋ฐฑ๋์ด๋ฅผ ๋ฐฐํฌํ๊ณ ๋น์ทํ ์ด๋ฆ์ C&C ์๋ฒ์๋ ์ฐ๊ฒฐ๋์์ต๋๋ค. ๊ฒํฌ์ฌ[.]tk.
์ด๋ ์ฌ์ฉ์ Nima Nikjoo๊ฐ 14๋ 2019์ XNUMX์ผ Twitter์ MuddyWater์ ๊ด๋ จ๋ ๋๋ ํ๋ ์ฝ๋๋ฅผ ํด๋ ํ๋ ค๊ณ ์๋ํ ํ์ ์ํ๋์์ ์ ์์ต๋๋ค. ์ด ํธ์์ ๋ํ ๋๊ธ์์ ์ฐ๊ตฌ์์ ์ด ์ ๋ณด๊ฐ ๊ธฐ๋ฐ์ด๊ธฐ ๋๋ฌธ์ ์ด ์ ์ฑ ์ฝ๋์ ๋ํ ์์ ์งํ๋ฅผ ๊ณต์ ํ ์ ์๋ค๊ณ ๋งํ์ต๋๋ค. ์ํ๊น๊ฒ๋ ํด๋น ๊ฒ์๋ฌผ์ ์ด๋ฏธ ์ญ์ ๋์์ง๋ง ๊ทธ ํ์ ์ ์จ๋ผ์ธ์ ๋จ์ ์์ต๋๋ค.
Nima Nikjoo๋ ์ด๋ ๋น๋์ค ํธ์คํ
์ฌ์ดํธ dideo.ir ๋ฐ videoi.ir์ Gladiyator_CRK ํ๋กํ ์์ ์์
๋๋ค. ์ด ์ฌ์ดํธ์์ ๊ทธ๋ ๋ค์ํ ๊ณต๊ธ์
์ฒด์ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ๋๊ตฌ๋ฅผ ๋นํ์ฑํํ๊ณ ์๋๋ฐ์ค๋ฅผ ์ฐํํ๋ PoC ์ต์คํ๋ก์์ ์์ฐํฉ๋๋ค. Nima Nikjoo๋ ์์ ์ด ๋คํธ์ํฌ ๋ณด์ ์ ๋ฌธ๊ฐ์ด์ ์ด๋ ํต์ ํ์ฌ์ธ MTN Irancell์์ ์ผํ๋ ๋ฆฌ๋ฒ์ค ์์ง๋์ด์ด์ ์
์ฑ ์ฝ๋ ๋ถ์๊ฐ๋ผ๊ณ ์ผ์ต๋๋ค.
Google ๊ฒ์๊ฒฐ๊ณผ์ ์ ์ฅ๋ ๋์์ ์คํฌ๋ฆฐ์ท:
์ดํ 19๋
2019์ 16์ผ ์์
๋คํธ์ํฌ ํธ์ํฐ ์ฌ์ฉ์ ๋๋ง ๋์ฃผ(Nima Nikjoo)๋ ๋๋ค์์ ์
์ฑ์ฝ๋ ํ์ดํฐ(Malware Fighter)๋ก ๋ณ๊ฒฝํ๊ณ ๊ด๋ จ ๊ฒ์๋ฌผ๊ณผ ๋๊ธ๋ ์ญ์ ํ๋ค. dideo.ir์ ํธ์คํ
ํ๋ ๋์์์ Gladiyator_CRK ํ๋กํ๋ YouTube์ ๊ฒฝ์ฐ์ ๋ง์ฐฌ๊ฐ์ง๋ก ์ญ์ ๋์์ผ๋ฉฐ ํ๋กํ ์์ฒด์ ์ด๋ฆ์ N Tabrizi๋ก ๋ณ๊ฒฝ๋์์ต๋๋ค. ๊ทธ๋ฌ๋ ๊ฑฐ์ ํ ๋ฌ ํ(2019๋
XNUMX์ XNUMX์ผ) ํธ์ํฐ ๊ณ์ ์์ ๋ค์ ๋๋ง ๋์ฃผ๋ผ๋ ์ด๋ฆ์ ์ฌ์ฉํ๊ธฐ ์์ํ์ต๋๋ค.
์กฐ์ฌ ๊ณผ์ ์์ Group-IB ์ ๋ฌธ๊ฐ๋ค์ Nima Nikjoo๊ฐ ์ฌ์ด๋ฒ ๋ฒ์ฃ ํ๋๊ณผ ๊ด๋ จํ์ฌ ์ด๋ฏธ ์ธ๊ธ๋ ์ฌ์ค์ ๋ฐ๊ฒฌํ์ต๋๋ค. 2014๋ 33์ ์ด๋ Khabarestan ๋ธ๋ก๊ทธ์๋ ์ฌ์ด๋ฒ ๋ฒ์ฃ ๊ทธ๋ฃน Iranian Nasr Institute์ ๊ด๋ จ๋ ๊ฐ์ธ์ ๋ํ ์ ๋ณด๊ฐ ๊ฒ์๋์์ต๋๋ค. ํ FireEye ์กฐ์ฌ์ ๋ฐ๋ฅด๋ฉด Nasr Institute๋ APT2011์ ๊ณ์ฝ์์์ผ๋ฉฐ Operation Ababil์ด๋ผ๋ ์บ ํ์ธ์ ์ผํ์ผ๋ก 2013๋ ๋ถํฐ XNUMX๋ ๊น์ง ๋ฏธ๊ตญ ์ํ์ ๋ํ DDoS ๊ณต๊ฒฉ์๋ ์ฐ๋ฃจ๋ ๊ฒ์ผ๋ก ๋ํ๋ฌ์ต๋๋ค.
๊ทธ๋์ ๊ฐ์ ๋ธ๋ก๊ทธ์์๋ ์ด๋์ธ์ ๊ฐ์ํ๊ธฐ ์ํ ์ ์ฑ์ฝ๋๋ฅผ ๊ฐ๋ฐํ๊ณ ์๋ Nima Nikju-Nikjoo์ ๊ทธ์ ์ด๋ฉ์ผ ์ฃผ์๊ฐ Gladiator_cracker@yahoo[.]com์ผ๋ก ์ธ๊ธ๋์์ต๋๋ค.
์ด๋ Nasr ์ฐ๊ตฌ์์ ์ฌ์ด๋ฒ ๋ฒ์ฃ์ ๋ฐ์ดํฐ ์คํฌ๋ฆฐ์ท:
๊ฐ์กฐ ํ์๋ ํ
์คํธ๋ฅผ ๋ฌ์์์ด๋ก ๋ฒ์ญ: Nima Nikio - ์คํ์ด์จ์ด ๊ฐ๋ฐ์ - ์ด๋ฉ์ผ:.
์ด ์ ๋ณด์์ ๋ณผ ์ ์๋ฏ์ด ์ด๋ฉ์ผ ์ฃผ์๋ ๊ณต๊ฒฉ์ ์ฌ์ฉ๋ ์ฃผ์์ ์ฌ์ฉ์ Gladiyator_CRK ๋ฐ Nima Nikjoo์ ์ฐ๊ฒฐ๋์ด ์์ต๋๋ค.
๋ํ 15๋
2017์ XNUMX์ผ ๊ธฐ์ฌ์๋ Nikjoo๊ฐ ์ด๋ ฅ์์ Kavosh Security Center์ ๋ํ ์ธ๊ธ์ ๊ฒ์ํ๋ ๋ฐ ๋ค์ ๋ถ์ฃผ์ํ๋ค๊ณ ๋ช
์๋์ด ์์ต๋๋ค. ๋จน๋ค
Nima Nikjoo๊ฐ ๊ทผ๋ฌดํ๋ ํ์ฌ์ ๋ํ ์ ๋ณด:
ํธ์ํฐ ์ฌ์ฉ์ Nima Nikjoo์ LinkedIn ํ๋กํ์๋ ๊ทธ๊ฐ 2006๋
๋ถํฐ 2014๋
๊น์ง ๊ทผ๋ฌดํ๋ Kavosh ๋ณด์ ์ผํฐ๋ก ์ฒ์ ๊ทผ๋ฌดํ ๊ณณ์ด ๋์ ์์ต๋๋ค. ์
๋ฌด๋ฅผ ์งํํ๋ฉด์ ๋ค์ํ ์
์ฑ์ฝ๋๋ฅผ ์ฐ๊ตฌํ๊ณ ๋ฆฌ๋ฒ์ค, ๋๋
ํ ๊ด๋ จ ์
๋ฌด๋ ๋ค๋ฃจ์์ต๋๋ค.
Nima Nikjoo๊ฐ LinkedIn์์ ๊ทผ๋ฌดํ ํ์ฌ์ ๋ํ ์ ๋ณด:
MuddyWater์ ๋์ ์์กด๊ฐ
MuddyWater ๊ทธ๋ฃน์ ์ ๋ณด ๋ณด์ ์ ๋ฌธ๊ฐ๊ฐ ๊ฒ์ํ ๋ชจ๋ ๋ณด๊ณ ์์ ๋ฉ์์ง๋ฅผ ์ฃผ์ ๊น๊ฒ ๋ชจ๋ํฐ๋งํ๊ณ , ์ฒ์์๋ ์ฐ๊ตฌ์๋ค์ ์ซ์๋ด๊ธฐ ์ํด ์๋์ ์ผ๋ก ํ์ ํ๋๊ทธ๋ฅผ ๋จ๊ฒผ๋ค๋ ์ ์ด ๊ถ๊ธํฉ๋๋ค. ์๋ฅผ ๋ค์ด, ์ฒซ ๋ฒ์งธ ๊ณต๊ฒฉ์ ์ผ๋ฐ์ ์ผ๋ก FIN7 ๊ทธ๋ฃน๊ณผ ๊ด๋ จ๋ DNS ๋ฉ์ ์ ์ฌ์ฉ์ ํ์งํ์ฌ ์ ๋ฌธ๊ฐ๋ฅผ ์ค๋ํ์ต๋๋ค. ๋ค๋ฅธ ๊ณต๊ฒฉ์์๋ ์ฝ๋์ ์ค๊ตญ์ด ๋ฌธ์์ด์ ์ฝ์ ํ์ต๋๋ค.
๋ํ, ์ด ๊ทธ๋ฃน์ ์ฐ๊ตฌ์๋ค์๊ฒ ๋ฉ์์ง๋ฅผ ๋จ๊ธฐ๋ ๊ฒ์ ์ข์ํฉ๋๋ค. ์๋ฅผ ๋ค์ด Kaspersky Lab์ ์ฌํด ์ํ ๋ฑ๊ธ์์ MuddyWater๋ฅผ 3์๋ก ์ ์ ํ ๊ฒ์ ์ข์ํ์ง ์์์ต๋๋ค. ๋์์ MuddyWater ๊ทธ๋ฃน์ผ๋ก ์ถ์ ๋๋ ๋๊ตฐ๊ฐ๊ฐ LK ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ์ ๋นํ์ฑํํ๋ ๊ณต๊ฒฉ PoC๋ฅผ YouTube์ ์ ๋ก๋ํ์ต๋๋ค. ๊ทธ๋ค์ ๊ธฐ์ฌ ์๋์ ๋๊ธ๋ ๋จ๊ฒผ์ต๋๋ค.
Kaspersky Lab ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ๋นํ์ฑํ์ ๋ํ ๋น๋์ค ์คํฌ๋ฆฐ์ท๊ณผ ์๋ ์ค๋ช :
'๋๋ง๋์ฃผ'์ ๊ฐ์
์ ๋ํด์๋ ์์ง ๋ช
ํํ๊ฒ ๊ฒฐ๋ก ์ ๋ด๋ฆฌ๊ธฐ๋ ์ด๋ ต๋ค. Group-IB ์ ๋ฌธ๊ฐ๋ค์ ๋ ๊ฐ์ง ๋ฒ์ ์ ๊ฒํ ํ๊ณ ์์ต๋๋ค. ์ค์ ๋ก Nima Nikjoo๋ MuddyWater ๊ทธ๋ฃน์ ํด์ปค์ผ ์ ์์ผ๋ฉฐ, ๊ทธ์ ๋ถ์ฃผ์์ ๋คํธ์ํฌ ํ๋ ์ฆ๊ฐ๋ก ์ธํด ๋ฐํ์ก์ต๋๋ค. ๋ ๋ฒ์งธ ์ต์
์ ์์ฌ์ ๋๋ฆฌ๊ธฐ ์ํด ๊ทธ๋ฃน์ ๋ค๋ฅธ ๊ตฌ์ฑ์์ ์ํด ์๋์ ์ผ๋ก "๋
ธ์ถ"๋๋ ๊ฒ์
๋๋ค. ์ด์จ๋ Group-IB๋ ์ฐ๊ตฌ๋ฅผ ๊ณ์ํ๊ณ ์์ผ๋ฉฐ ๊ทธ ๊ฒฐ๊ณผ๋ฅผ ๋ฐ๋์ ๋ณด๊ณ ํ ๊ฒ์
๋๋ค.
์ด๋ APT์ ๊ฒฝ์ฐ, ์ผ๋ จ์ ์ ์ถ๊ณผ ์ ์ถ ์ดํ ์๋ง๋ ์ฌ๊ฐํ "๋ณด๊ณ "์ ์ง๋ฉดํ๊ฒ ๋ ๊ฒ์
๋๋ค. ํด์ปค๋ ๋๊ตฌ๋ฅผ ์ฌ๊ฐํ๊ฒ ๋ณ๊ฒฝํ๊ณ , ํธ๋์ ์ ๋ฆฌํ๊ณ , ๊ฐ๋ฅํ "๋๋์ง"๋ฅผ ์ฐพ์๋ด์ผ ํฉ๋๋ค. ์ ๋ฌธ๊ฐ๋ค์ ํ์์์๊น์ง ๊ฑธ๋ฆด ๊ฐ๋ฅ์ฑ๋ ๋ฐฐ์ ํ์ง ์์์ง๋ง ์ ์ ํด์์ ์ทจํ ๋ค ๋ค์ ์ด๋ APT ๊ณต๊ฒฉ์ด ์ด์ด์ก๋ค.
์ถ์ฒ : habr.com