메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

2017년 9월 러시아, 아르메니아, 말레이시아를 포함한 여러 지역에서 10개 이상의 금융 기관에 새로운 형태의 표적 공격이 연이어 발생했다고 카스퍼스키랩 연구진이 밝혔다. 이 공격은 신생 해킹 그룹인 Silence의 소행으로, 다른 악명 높은 집단인 Carbanak과 유사한 기술을 활용해 피해자로부터 돈을 훔치고 있으며 공격은 지금도 계속 이어지고 있다.

Silence는 금융 기관에서 수백만 달러를 절도한 Metel, GCMAN, Carbanak와 함께 피해 규모나 방법의 복잡성 면에서 최악의 사이버 절도를 벌인 조직으로 이름을 올렸다. 이러한 범죄 중 대부분에 사용된 방법은 다음과 같다. 먼저 내부 뱅킹 네트워크에 대해 장기간 지속적인 액세스를 확보한 후 해당 네트워크의 일일 활동을 모니터링하고 개별 뱅킹 네트워크의 상세 정보를 확인한 다음, 적당한 시기에 그 동안 모은 지식을 활용해 돈을 최대한 빼낸다.

Silence 트로이목마도 바로 이 방법을 사용한다. 이 악성 코드는 스피어피싱 이메일로 피해 기관의 인프라를 감염시킨다.

메일에 첨부된 악성 파일은 그 기능이 매우 정교하다. 피해자가 파일을 열면 한 번의 클릭만으로도 다운로드가 연이어 실행되고 결국에는 드롭퍼 악성 코드가 실행된다. 이 드롭퍼가 C&C 서버와 연결한 후 감염된 기기의 ID를 전송하고 추가 악성 코드를 다운로드한 후 실행하여 블루 스크린, 데이터 업로드, 자격 증명 정보 절도, 원격 제어 등의 문제를 일으킨다.

또, 흥미롭게도 실제 기관 종사자의 주소를 사용해 피해자에게 계좌 개설 요청 이메일을 보내는 식으로 이미 감염된 금융 기관 인프라를 새로운 공격에 악용한다. 이 속임수 때문에 메일 수신자는 감염 매개를 전혀 인지하지 못하게 된다.

네트워크에 대한 장기간 액세스를 확보한 후에는 네트워크 조사에 착수한다. Silence 그룹은 피해자의 컴퓨터 화면을 여러 스크린샷으로 기록하고 피해자의 활동을 실시간 동영상으로 스트리밍하는 등, 일거수일투족을 모니터링할 수 있다. 목적은 단 하나, 바로 피해자의 일상 활동을 파악하고 절도를 위한 정보를 충분히 확보하기 위해서이다. 이러한 과정과 방식은 Carbanak의 수법과 매우 유사하다.

카스퍼스키랩의 보안 연구진은 Silence 공격의 구성 요소를 연구하면서 발견한 언어적 증거를 토대로 악성 Silence 공격을 펼친 범죄자들이 러시아어를 사용한다는 사실을 밝혀냈다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “Silence 트로이목마는 사이버 범죄자들이 일반 사용자가 아닌 은행을 직접 노리는 쪽으로 점차 돌아서고 있음을 보여주는 증거입니다. 더욱 교묘하고 전문적인 APT 방식의 사이버 절도 범죄가 성행하면서 최근 이 추세는 갈수록 뚜렷해지고 있습니다. 가장 골치 아픈 점은 이들이 은밀히 활동하기 때문에 각 은행의 보안 대책의 수준과 관계없이 성공을 거둘 수도 있다는 겁니다.”라고 설명한다.

사이버 공격을 스스로 막으려면 다음의 조치를 취하는 것이 좋다고 카스퍼스키랩 연구진은 조언한다.
• Kaspersky Anti Targeted Attack Platform처럼 모든 유형의 이상 징후를 탐지하고 의심스러운 파일을 더 심층적으로 조사해 복잡한 공격을 탐지하고 인지 및 파악할 수 있는 전용 APT 솔루션을 사용해 지능형 사이버 위협에 대응한다.
• 부적절한 시스템 구성이나 애플리케이션 오류 등의 보안 허점을 제거한다. Kaspersky Penetration Testing 및 Application Security Assessment는 이와 관련해 편리하고 효과적인 서비스를 제공하는 솔루션으로, 발견된 취약점에 관한 데이터와 그 개선 방안을 사용자에게 제시해 기업 보안을 한층 더 강화한다.
• 엄격한 이메일 처리 정책을 세우고 피싱, 악성 첨부 파일 및 스팸 처리에 특화된 보안 솔루션을 활성화한다. 예를 들어 이메일 보안 솔루션과 Kaspersky Endpoint Security의 안티 피싱 기능 및 첨부 파일 필터링 기능을 사용할 수도 있다.

Silence 트로이목마와 보안 침해 지표에 대해서는 Securelist.com에서 자세히 확인할 수 있다.

Kaspersky Intelligence Reporting Service 유료 이용 고객은 Silence 트로이목마에 대한 보다 자세한 정보를 intelreports@kaspersky.com로 요청할 수 있다.

카스퍼스키랩 소개
1997년 설립되어 2017년 20주년이 된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com 을 참조하십시오.
번호 제목 날짜
97 카스퍼스키랩에서 새로 선보이는 일반 IT 담당자를 위한 온라인 사이버 보안 교육 과정

2017.11.29 0

2017.11.29
» 금융 기관을 노린 Silence 트로이목마

관리자 2017.11.29 18

2017.11.29
95 카스퍼스키랩의 3분기 DDoS 인텔리전스 보고서, 봇넷 DDoS 공격과 온라인 게임 및 암호 화폐의 위기

2017.11.29 0

2017.11.29
94 중국어 기반 해킹 조직, 2017년 3분기 지능형 표적 공격의 약 50% 차지

2017.11.29 0

2017.11.29
93 카스퍼스키랩의 2018년 위협 예측: 일반 소프트웨어를 감염시켜 우회 공격하는 공급망 공격 수법 증가 예측

2017.11.29 0

2017.11.29
92 스파이 전쟁: 서로 간 정보 탈취와 복제가 한창인 국가 지원 해킹 조직들

2017.11.07 0

2017.11.07
91 새로운 보안위협 정보 교환 협약으로 더욱 공고해진 인터폴과 카스퍼스키랩의 공조

2017.11.07 0

2017.11.07
90 평균 6.3대의 IT 기기를 보유한 새로운 ‘가정 2.0’ 시대를 위한 보안

2017.11.07 0

2017.11.07
89 초보자도 가능한 ATM 해킹: 아마추어를 대상으로 하는 신종 ATM 해킹 악성 코드 패키지 Cutlet Maker 적발

2017.11.07 0

2017.11.07
88 싱가포르 정부, 카스퍼스키랩의 새로운 사이버 보안 연구에 투자

2017.11.07 0

2017.11.07
87 당혹스러운 루머의 진상: FAQ file

2017.10.25 0

2017.10.25
86 2017년 1분기 카스퍼스키랩 DDoS 공격 보고서: 폭풍전야

2017.06.26 0

2017.06.26
85 카스퍼스키 Data Feed Service

2017.06.26 0

2017.06.26
84 WannaCry Ransomware 예방을 위한 Microsoft 보안 패치 원격 설치 가이드 file

2017.05.15 0

2017.05.15
83 대규모 랜섬웨어 공격 WannaCry에 대한 카스퍼스키랩 코멘트

2017.05.15 0

2017.05.15
82 Lazarus 추적: 대규모 은행 강도 예방을 위한 악질 해커와의 전쟁

2017.04.14 0

2017.04.14
81 15개의 새로운 복호화 도구와 새로운 파트너로 더욱 강력해진 No More Ransom 프로젝트

2017.04.14 0

2017.04.14
80 보안 제품 성능 평가 TOP3 지표에서 1위를 지킨 카스퍼스키랩

2017.03.20 0

2017.03.20
79 PetrWrap: 해커들이 랜섬웨어 코드를 해커들로부터 훔치다

2017.03.20 0

2017.03.20
78 카스퍼스키랩, Kaspersky 운영 체제 출시

2017.03.20 0

2017.03.20