메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐
 
최근 카스퍼스키랩의 글로벌 위협 정보 분석팀(GReAT)에서 악명 높은 Lazarus가 관련된 새로운 악성 캠페인 AppleJeus를 발견했다. 공격자는 암호 화폐 거래 트로이목마를 사용하여 아시아 지역의 암호 화폐 거래소 네트워크에 침투했으며, 최종 목표는 암호 화폐 탈취였다. Windows 기반 악성 코드뿐 아니라 macOS 플랫폼을 노리는 버전이 발견된 첫 사례이다.

이번 사례는 카스퍼스키랩이 관측을 시작한 이래 Lazarus가 macOS 사용자를 노리고 악성 코드를 유포한 최초의 사례로, macOS 환경에서 암호 화폐 거래나 관련된 업무를 하는 사용자에게 경종을 울리고 있다.

카스퍼스키랩은 경계가 허술한 회사의 직원이 합법적인 암호 화폐 거래 소프트웨어 개발사로 보이는 웹사이트에서 애플리케이션을 다운로드함으로써 악성 코드가 거래소 인프라에 침투한 것으로 분석하고 있다.

해당 애플리케이션의 코드는 큰 문제가 없어 보이지만 업데이터는 다르다. 합법적인 소프트웨어에서 업데이터는 프로그램의 최신 버전을 다운로드하는 용도로 사용되지만 AppleJeus의 경우에는 업데이터가 설치된 컴퓨터의 기본 정보를 수집한 후에 이를 C&C 서버로 보내는 정찰 모듈의 기능을 한 것이다. 해당 컴퓨터가 공격할 가치가 있다고 판단되면 악성 코드가 소프트웨어 업데이트의 형태로 전송되고, Fallchill이라는 트로이목마가 설치된다. 이 트로이목마는 Lazarus 그룹이 예전에 사용했던 도구로, 연구진이 악성 코드의 배후로 Lazarus 그룹을 지목한 증거가 되기도 했다. Fallchill 트로이목마 설치가 완료되면 공격자는 대상 컴퓨터를 제한 없이 액세스할 수 있는 권한을 갖게 되며 중요한 금융 관련 정보를 훔치거나 악성 도구를 추가로 설치해서 정보를 훔칠 수 있다.

Lazarus가 Windows 버전과 macOS 버전을 모두 개발했다는 점을 생각해보면 상황은 좀 더 심각하다. 일반적으로 macOS는 Windows에 비해 사이버 위협에 안전하다는 인식이 있었다. 두 버전 모두 기능은 동일하다.

공급망 공격처럼 보이지만 자세히 들여다보면 그렇지 않다는 점도 AppleJeus의 특이점이다. 피해자의 컴퓨터에 악성 페이로드를 유포하는 데 사용된 암호 화폐 거래 소프트웨어 업체는 유효한 디지털 인증서로 소프트웨어에 서명을 했으며 합법적으로 보이는 도메인 등록 기록을 보유하고 있었다. 그러나 공개된 정보에 따르면 카스퍼스키랩 연구진은 해당 인증서 정보에 사용된 주소에서 합법적인 기관을 발견하지는 못했다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “2017년 초반 Lazarus에 의한 Monero 채굴 소프트웨어 설치 사례를 통해 Lazarus가 암호 화폐 시장에 점점 더 관심을 보이고 있다는 사실을 알 수 있었습니다. 그 이후로도 일반적인 금융 기관과 함께 암호 화폐 거래소를 노리는 정황이 몇 차례 더 발견된 바 있습니다. Windows 사용자뿐 아니라 macOS 사용자까지 겨냥한 악성 코드를 개발했고 이 악성 코드를 은밀하게 유포하기 위해 가짜 소프트웨어 회사와 제품을 만들어낸 점을 미루어보아 Lazarus는 커다란 금전적 이득을 노리고 있으며 차후에 암호 화폐 공격이 더 많이 발생할 것이라고 판단됩니다. 이번 사례는 macOS 사용자에게 일종의 경고와도 같습니다. 특히 암호 화폐 거래나 관련 작업을 Mac 컴퓨터에서 하는 사람들은 더욱 경각심을 가져야 할 것입니다.”라고 말했다.

고도의 기술력을 보유하고 있으며 북한과 연계된 것으로 알려진 Lazarus는 사이버 스파이 및 사보타주 공격뿐 아니라 금전적인 이득을 목적으로 하는 공격으로도 유명하다. 카스퍼스키랩을 비롯한 다수의 연구진이 이미 Lazarus가 은행과 기타 대형 금융 조직을 노리고 있다고 보고한 바 있다. 

카스퍼스키랩은 Lazarus와 같이 정교한 사이버 공격으로부터 개인 사용자와 기업을 보호하기 위해 다음과 같은 조치를 취할 것을 권고하고 있다.
• 시스템에서 실행되는 애플리케이션을 아무 생각 없이 신뢰하지 않는다. 합법적인 것으로 보이는 웹사이트, 견실해 보이는 회사 프로필이나 디지털 인증서가 있는 경우에도 백도어가 숨겨져 있을 수 있다.
• 이전에 알려지지 않은 위협까지 탐지할 수 있는 악성 행위 탐지 기술을 갖춘 보안 솔루션을 사용한다.
• 기업 보안 팀의 경우 고품질 위협 인텔리전스 보고 서비스를 구독한다. 정교한 위협 공격 그룹의 수법, 기술과 공격 과정에 대한 최신 정보를 빠르게 파악할 수 있다. 
• 중요한 금융 거래를 하는 경우 다중 인증과 하드웨어 지갑을 사용한다. 또한 인터넷 작업이나 이메일 작업을 하지 않는 별도의 컴퓨터에서 이러한 작업을 수행하는 것이 좋다.

보고서 전문은 Securelist.com에서 확인할 수 있다.

카스퍼스키랩 소개
1997년 설립된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다. 
자세한 내용은 www.kaspersky.com을 참조하십시오.
번호 제목 날짜
141 산업 네트워크에 새로운 위협이 된 원격 관리 도구

2018.10.01 0

2018.10.01
140 2018년 상반기 신종 IoT 악성 코드 3배 증가

2018.10.01 0

2018.10.01
139 2018년 상반기 ICS 컴퓨터 중 40% 이상이 악성 코드에 감염

2018.10.01 0

2018.10.01
138 2018년 상반기 봇넷 활동 보고서: 다기능 봇의 증가

2018.10.01 0

2018.10.01
» 카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐

디브릿지 2018.10.01 7

2018.10.01
136 보이지 않는 위협, 모바일 뱅킹 트로이목마 기승

2018.08.23 0

2018.08.23
135 주요 업종의 ICS 보안을 위험하게 만드는 세 가지 요인: 인력 부족, 투자 미비, 사람의 실수

2018.08.23 0

2018.08.23
134 광고 네트워크를 통한 악성 코드 설치 시도를 월 50만 건 이상 차단하는 카스퍼스키랩

2018.08.23 0

2018.08.23
133 전 세계 기업 네트워크를 공격하는 새로운 파일리스 암호 화폐 채굴 악성 코드, PowerGhost

2018.08.23 0

2018.08.23
132 카스퍼스키랩 DDoS 인텔리전스 보고서에 새로운 키워드로 등장한 프린터, e스포츠, 가상 화폐

2018.08.23 0

2018.08.23
131 작년 한 해 가상 화폐의 사회공학 공격기법을 통한 피해 규모 약 천만 달러에 달해

2018.07.30 0

2018.07.30
130 2018년 2분기 APT 동향 요약 보고서

2018.07.30 0

2018.07.30
129 아시아의 정치 외교적 표적과 새로운 공격을 통해 드러난 2분기 위협 상황

2018.07.30 0

2018.07.30
128 카스퍼스키랩, 사용자를 감시 및 추적하는 모바일 앱을 둘러싼 우려에 대한 해답 제시

2018.07.30 0

2018.07.30
127 암호 화폐 채굴 악성 코드 피해자 연간 270만 명으로 44% 증가

2018.07.10 0

2018.07.10
126 유럽의 생화학 위협 대응 기관을 노리며 활동을 재개한 '올림픽 디스트로이어' 공격

2018.06.28 0

2018.06.28
125 2018년 1분기 4배 증가한 Microsoft Office 익스플로잇 공격

2018.06.28 0

2018.06.28
124 2018 FIFA 월드컵 개최 도시의 Wi-Fi 핫스팟 중 20% 이상에서 사이버 보안 문제 발견

2018.06.28 0

2018.06.28
123 축구팬을 농락하는 2018 FIFA 월드컵 티켓 판매 사기

2018.06.28 0

2018.06.28
122 2018년 1분기 소셜 네트워크 피싱의 60%를 차지한 가짜 Facebook 사이트

2018.06.28 0

2018.06.28