메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

2018년 2분기 APT 동향 요약 보고서
 
2017년 2분기부터 카스퍼스키랩의 글로벌 위협 정보 분석팀(GReAT)은 연구 결과를 대중에게 널리 알리기 위해 분기별 구독자 전용 위협 인텔리전스 보고서의 요약본을 출간하고 있다. 가장 최근에 출간된 본 보고서는 2018년 2분기 동안 관찰된 활동 중 중대한 내용을 주로 다루고 있다.

본 보고서에서 제공하는 정보는 요약본이며 자세한 내용은 카스퍼스키랩의 구독자 전용 보고서를 통해 확인할 수 있다. 여기서는 일반 대중들도 유의해야 하는 주요 사건과 발견 내용만 중점적으로 제시한다. 따라서 구체적인 지표는 본 요약 보고서에서 생략되었다. 카스퍼스키랩의 다양한 인텔리전스 보고서나 특정 보고서에 대해 자세히 알아보려면 intelreports@kaspersky.com으로 문의할 수 있다.

주목할 만한 새로운 발견
카스퍼스키랩은 기존 공격 단체가 사용한 새로운 기술을 분석하거나 새로운 공격 행위자를 발견할 수 있는 활동을 추적하는 데 노력을 기울이고 있다. 2018년 2분기는 APT 활동 측면에서 매우 흥미로운 시기였는데, 지난 몇 년간 카스퍼스키랩이 예측했던 위협 요소가 얼마나 현실화됐는지 확인해주는 공격이 나타났기 때문이다. 특히 네트워킹 하드웨어가 표적 공격을 받기 매우 쉬우며 이런 장치를 집중적으로 노린 고급 수준의 활동이 관측되기 시작했다고 카스퍼스키랩은 지속적으로 경고해온 바 있다.

잘 알려진 조직의 경우 아시아 지역의 조직이 가장 활발한 활동을 보이고 있다.

Lazarus/BlueNoroff는 대규모 사이버 스파이 공격의 일환으로써 터키 금융 기관을 노렸다는 혐의를 받았다. 더불어 중남미 지역의 카지노를 대상으로 파괴적인 공격을 감행한 혐의 또한 받았다. 이에 카스퍼스키랩은 원격 분석을 바탕으로 아시아의 금융 기관을 노린 Lazarus의 활동을 예의주시했다. Lazarus는 지난 몇 년 동안 다량의 코드를 재사용하면서 막대한 공격 흔적을 남겼다. 때문에 새롭게 발견된 일련의 활동과 Lazarus와의 연관성을 찾을 수 있었다. 최근 다수의 공격에서 Lazarus가 독점적으로 사용한Manuscrypt 악성 코드를 Lazarus를 특정하는 도구의 예로 들 수 있다. 지난 6월에는 US-CERT(미 침해사고대응팀)이 Manuscrypt의 새로운 버전인 'TYPEFRAME'에 대해 경고한 바 있다.


Lazarus가 사용하는 Manuscrypt/TYPEFRAME 악성 코드에 대한 US-CERT의 경고

최근 남북 평화 논의가 적극적으로 이뤄지고 있는 정치/외교 상황 속에서 Lazarus의 역할이 무엇인지는 명확하지 않으나, BlueNoroff와 Lazarus의 하위 조직인 Andariel을 통해 돈을 노린 활동은 계속될 것으로 보인다.

상대적으로 더욱 활발한 활동을 보인 Scarcruft(Group123/Reaper라고도 함) 또한 흥미롭다. 지난 1월에는 Scarcruft가 한국을 표적으로 CVE-2018-4878 제로데이 익스플로잇을 사용한 것이 발견되어 Scarcruft의 기술이 상당히 진화했음이 확인된 바 있다. 또한 지난 몇 달 동안 Scarcruft가 POORWEB이라 불리는 신규 백도어를 퍼뜨리는 새로운 공격을 전개한 것은 물론 안드로이드 악성 코드를 사용했다는 사실이 발견되었다. 초기에는 Qihoo360가 발표한 CVE-2018-8174 제로데이 공격의 배후에도 Scarcruft가 있다는 의혹도 있었지만, CVE-2018-8174는 DarkHotel이라는 다른 APT 조직에 의해 배포되었다는 사실을 카스퍼스키랩에서 밝혀냈다.

Scarcruft와 Darkhotel의 활동이 겹친 시기는 카스퍼스키랩이 Daybreak 공격과 Erebus 공격을 발견한 2016년으로 거슬러 올라간다. 이 두 공격은 모두 동일한 사이트를 이용해 익스플로잇을 배포했는데, 그 중 하나가 제로데이였다. 이후에 카스퍼스키랩은 이들을 다음과 같이 분리할 수 있었다.






DarkHotel의 Daybreak(오른쪽)는 주로 Flash 플레이어 제로데이를 이용해 중국인을 노리는 스피어 피싱 이메일에 의존했다. 반면 Scarcruft가 전개한 Erebus의 주 표적은 한국이었다.

DarkHotel이 사용한 CVE-2018-8174 익스플로잇을 분석한 결과, 공격자가 URLMoniker를 사용하여 대상 컴퓨터의 기본 브라우저 설정을 무시하고 Microsoft Word 프로그램을 통해 Internet Explorer를 호출했다는 사실이 드러났다. 이 기법이 관찰된 첫 번째 사례로, 이 흥미로운 기법은 향후 다른 공격에서 사용될 가능성이 높다.

또한 상대적으로 조용했던 조직이 새로운 활동을 벌인 정황도 포착했다. 눈에 띄는 사례로는 LuckyMouse(APT27/Emissay Panda라고도 함)가 아시아 내 ISP를 이용하여 유명 웹사이트에서 워터 홀 공격을 한 사례가 있다. 지난 6월 카스퍼스키랩은 중앙아시아 국가의 데이터 센터를 노린 LuckyMouse의 공격에 대한 기사를 내기도 했다. 뿐만 아니라 카자흐스탄과 몽골 정부 관계자들이 중국에서 회의를 개최할 시기에 LuckyMouse가 이들을 대상으로 한 새로운 활동을 시작했음을 발견한 바 있다. 지난 10개월 동안 몽골 관계자를 대상으로 한 중국어 기반 조직의 활동은 크게 두드러진다.

2018년 2분기에 가장 주목할 만한 활동은 VPNFilter 악성 코드다. FBI가 Sofacy 및 Sandworm (Black Energy) APT 조직을 배후로 지목한 이 공격은 다수의 네트워킹 하드웨어 및 스토리지 솔루션을 표적으로 삼았으며 감염된 네트워킹 장치를 넘어 컴퓨터를 감염시키기 위해 악성 코드를 트래픽에 삽입하는 것까지 가능했다. 카스퍼스키랩은 VPNFilter 가 이용하는 EXIF to C2 메커니즘에 대한 분석을 제공하고 있다.

이 공격은 고도의 기술력을 갖춘 공격자에게 네트워킹 하드웨어가 중요한 표적이 되었음을 잘 보여주는 사례로 꼽을 수 있다. Cisco Talos의 연구원들이 제공한 데이터에 따르면 이 공격은 전 세계에 걸쳐 광범위하게 진행되었다. 카스퍼스키랩의 자체 분석 결과 거의 모든 국가에서 이 공격의 흔적이 발견되었다.

잘 알려진 조직의 활동
지난 몇 년 활발했던 일부 조직의 활동이 뜸해진 것으로 보이나 위험성이 줄어든 것은 결코 아니다. 예컨대 Sofacy가 일부 표적에 대한 후속 단계로 새로운 무료 모듈을 사용하기 시작했다는 사실이 공개적으로 보고된 바 있다. 그러나 카스퍼스키랩은 한걸음 더 나아가 Zebrocy를 배포하기 위해 Go 프로그래밍 언어로 작성된 새로운 다운로더와 더불어 새로운 도구가 추가됨으로서 Sofacy의 공격 기술이 어떻게 발전했는지 관찰했다.

Sofacy의 활동이 저조한 가운데에도 한 가지 주목할 만한 예외가 있다. 지난 1월 평창 동계 올림픽을 노린 올림픽 디스트로이어 공격 후 카스퍼스키랩이 유럽에서 동일한 공격자의 소행으로 의심되는 활동을 관측한 것이다. 이번에는 러시아의 금융 기관과 유럽, 우크라이나 소재의 생화학 위협 방지 연구소가 표적이 된 것으로 보인다.

더욱 눈길을 끄는 것은 올림픽 디스트로이어와 Sofacy가 TTP(전술, 기법, 절차)와 OPSEC(공격 보안)가 유사하다는 점이다. 올림픽 디스트로이어가 정교한 위장 기술을 사용하고 있음을 고려하면 이 또한 잘못된 짐작일 수 있으나, 현재까지 카스퍼스키랩은 Sofacy가 올림픽 디스트로이어의 배후였을 가능성을 낮음~중간 정도로 보고 있다.

발견된 가장 흥미로운 공격 중 하나는 Turla의 임플란트로 추정되는 LightNeuron이다. 이 새로운 아티팩트는 Exchange 서버를 직접 노리는데 합법적인 표준 호출을 이용하여 이메일을 가로채거나 데이터를 유출하고, 피해자 대신 메일을 전송하기까지 한다. 카스퍼스키랩은 이 공격자가 2016년부터 이 기법을 사용해 왔으며 Postfix와 Sendmail에 영향을 주는 버전도 존재한다고 보고 있다. 현재까지 중동과 중앙 아시아 지역에서 LightNeuron의 피해자가 확인되고 있다.

새로운 공격자의 등장과 기존 공격자의 복귀
이따금씩 몇 달 또는 몇 년 간 활동이 없던 공격자가 새로운 악성 코드를 배포하며 놀라움을 안기곤 한다. 물론 이들의 활동을 미처 포착하지 못했을 가능성도 있지만 이러한 조직이 여전히 활동 중이라는 점만은 분명하다.

한 가지 좋은 예가 2016년 이후로 지나치게 잠잠한 WhiteWhale이다. 지난 4 월 카스퍼스키랩은 Taidoor와 Yalink 악성 코드군을 배포한 WhiteWhale의 새로운 공격 활동을 발견했다. 이 활동은 거의 집중적으로 일본 기관을 표적으로 하고 있었다.

북한과의 평화 회담을 둘러싼 치열한 외교 활동과 싱가포르에서 열린 북미 정상 회담이 이어지자 Kimsuky는 악성 코드를 배포하기 위해 이러한 상황을 활용하기로 전략을 짰다. 2017년 말에서 2018년 초 대대적으로 업데이트된 공격 도구와 기술이 Kimsuky의 새로운 스피어 피싱 이메일에 동원되었다.

카스퍼스키랩은 또한 정교함이 떨어지는 Perfanly라는 새 활동을 발견했는데, 그 배후로 어떠한 알려진 조직을 지목하지는 못했다. 적어도 2017년부터 시작된 Perfanly의 주요 표적은 말레이시아와 인도네시아의 정부 관계자였다. Metasploit과 같은 일반적인 도구뿐 아니라 맞춤형 멀티스테이지 드로퍼가 이 공격에 사용된다.

결론
중국어 기반의 Winnti umbrella를 통해서도 드러났듯이 단순한 맞춤형 아티팩트로 탐지를 피해 침투한 후 공개적으로 제공되는 도구를 사용하는 기법은 특정 종류의 활동에 동향으로 자리를 잡은 듯 보인다. 또한 APT 사이버 스파이 공격에 진입 장벽이 없음을 알게 된 신규 조직에서도 이 기법을 사용하고 있다.

많은 조직의 활동이 저조한 듯 보이지만 조직이 완전히 사라지거나 사이버 범죄를 중단한 것은 아니다. 이들은 조직을 재정비하거나 전 세계적인 수준으로는 포착되지 않을 소규모 공격을 수행하기 위해 잠깐 숨을 고르는 중일 수도 있다. 가장 흥미로운 사례 중 하나가 아시아의 정치 외교적 상황과 밀접하게 관련된 새로운 공격 활동을 벌이고 있는 LuckyMouse일 것이다. 이 지역에서 다시 모습을 드러낸 다른 조직과의 연계는 확인할 수 없으나 가능성은 존재한다.

또한 NCSC(미 해군 지위본부)와 US-CERT는 Energetic Bear/Crouching Yeti 활동과 관련하여 몇 차례 경고의 목소리를 내기도 했다. 기본적으로 이는 과거 사건에 대한 경고이므로 현재의 활동 여부는 확실하지 않지만 특정 산업을 집중적으로 노리며 현재 활동 중인 고위험 공격 조직으로 간주하여 경계해야 할 것이다. Energetic Bear/Crouching Yeti가 해킹된 인프라를 사용하는 방식은 많은 2차 피해자를 양산하므로 Securelist에서 최신 분석 자료를 확인할 것을 권장한다.

네트워킹 하드웨어가 고급 수준의 공격자에게 중요한 공격 대상이 되었다는 사실도 이제는 자명해졌다. 지난 몇 달 동안 여러 사례가 관측되었고 VPNFilter는 이것을 대수롭지 않게 여기는 사람들에게 경종을 울리고 있다.

카스퍼스키랩은 계속해서 발견 가능한 모든 APT 활동을 추적하면서 흥미로운 정보와 동향을 정기적으로 전달할 것이다. intelreports@kasperksy.com으로 문의하면 보다 자세한 정보를 확인할 수 있다.
번호 제목 날짜
141 산업 네트워크에 새로운 위협이 된 원격 관리 도구

2018.10.01 0

2018.10.01
140 2018년 상반기 신종 IoT 악성 코드 3배 증가

2018.10.01 0

2018.10.01
139 2018년 상반기 ICS 컴퓨터 중 40% 이상이 악성 코드에 감염

2018.10.01 0

2018.10.01
138 2018년 상반기 봇넷 활동 보고서: 다기능 봇의 증가

2018.10.01 0

2018.10.01
137 카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐

2018.10.01 0

2018.10.01
136 보이지 않는 위협, 모바일 뱅킹 트로이목마 기승

2018.08.23 0

2018.08.23
135 주요 업종의 ICS 보안을 위험하게 만드는 세 가지 요인: 인력 부족, 투자 미비, 사람의 실수

2018.08.23 0

2018.08.23
134 광고 네트워크를 통한 악성 코드 설치 시도를 월 50만 건 이상 차단하는 카스퍼스키랩

2018.08.23 0

2018.08.23
133 전 세계 기업 네트워크를 공격하는 새로운 파일리스 암호 화폐 채굴 악성 코드, PowerGhost

2018.08.23 0

2018.08.23
132 카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐

2018.08.23 0

2018.08.23
131 작년 한 해 가상 화폐의 사회공학 공격기법을 통한 피해 규모 약 천만 달러에 달해

2018.07.30 0

2018.07.30
» 2018년 2분기 APT 동향 요약 보고서

디브릿지 2018.07.30 34

2018.07.30
129 아시아의 정치 외교적 표적과 새로운 공격을 통해 드러난 2분기 위협 상황

2018.07.30 0

2018.07.30
128 카스퍼스키랩, 사용자를 감시 및 추적하는 모바일 앱을 둘러싼 우려에 대한 해답 제시

2018.07.30 0

2018.07.30
127 암호 화폐 채굴 악성 코드 피해자 연간 270만 명으로 44% 증가

2018.07.10 0

2018.07.10
126 유럽의 생화학 위협 대응 기관을 노리며 활동을 재개한 '올림픽 디스트로이어' 공격

2018.06.28 0

2018.06.28
125 2018년 1분기 4배 증가한 Microsoft Office 익스플로잇 공격

2018.06.28 0

2018.06.28
124 2018 FIFA 월드컵 개최 도시의 Wi-Fi 핫스팟 중 20% 이상에서 사이버 보안 문제 발견

2018.06.28 0

2018.06.28
123 축구팬을 농락하는 2018 FIFA 월드컵 티켓 판매 사기

2018.06.28 0

2018.06.28
122 2018년 1분기 소셜 네트워크 피싱의 60%를 차지한 가짜 Facebook 사이트

2018.06.28 0

2018.06.28