(0)
 
    
    
자동로그인




소프트정보서비스 블로그 가기
  ★고객지원 시스템 구축-원격제어 솔루션도입_(주)소프트정보서비스★

 
작성일 : 18-08-03 09:40
[성과]2018년 2분기 APT 동향 요약 보고서
 글쓴이 : 관리자
조회 : 17   추천 : 0  
2017 2분기부터 카스퍼스키랩의 글로벌 위협 정보 분석팀(GReAT)은 연구 결과를 대중에게 널리 알리기 위해 분기별 구독자 전용 위협 인텔리전스 보고서의 요약본을 출간하고 있다.
가장 최근에 출간된 본 보고서는 2018 2분기 동안 관찰된 활동 중 중대한 내용을 주로 다루고 있다.

본 보고서에서 제공하는 정보는 요약본이며 자세한 내용은 카스퍼스키랩의 구독자 전용 보고서를 통해 확인할 수 있다.
여기서는 일반 대중들도 유의해야 하는 주요 사건과 발견 내용만 중점적으로 제시한다. 따라서 구체적인 지표는 본 요약 보고서에서 생략되었다. 카스퍼스키랩의 다양한 인텔리전스 보고서나 특정 보고서에 대해 자세히 알아보려면 intelreports@kaspersky.com으로 문의할 수 있다.

주목할 만한 새로운 발견
카스퍼스키랩은 기존 공격 단체가 사용한 새로운 기술을 분석하거나 새로운 공격 행위자를 발견할 수 있는 활동을 추적하는 데 노력을 기울이고 있다. 2018 2분기는 APT 활동 측면에서 매우 흥미로운 시기였는데, 지난 몇 년간 카스퍼스키랩이 예측했던 위협 요소가 얼마나 현실화됐는지 확인해주는 공격이 나타났기 때문이다. 특히 네트워킹 하드웨어가 표적 공격을 받기 매우 쉬우며 이런 장치를 집중적으로 노린 고급 수준의 활동이 관측되기 시작했다고 카스퍼스키랩은 지속적으로 경고해온 바 있다.

잘 알려진 조직의 경우 아시아 지역의 조직이 가장 활발한 활동을 보이고 있다.

Lazarus/BlueNoroff
대규모 사이버 스파이 공격의 일환으로써 터키 금융 기관을 노렸다는 혐의를 받았다. 어 중남미 지역의 카지노를 대상으로 파괴적인 공격을 감행한 혐의 또한 받았다.
이에 카스퍼스키랩은 원격 분석을 바탕으로 아시아의 금융 기관을 노린 Lazarus의 활동을 예의주시했다.
Lazarus
는 지난 몇 년 동안 다량의 코드를 재사용하면서 막대한 공격 흔적을 남겼다.
때문에 새롭게 발견된 일련의 활동과 Lazarus와의 연관성을 찾을 수 있었다.
최근 다수의 공격에서 Lazarus가 독점적으로 사용한Manuscrypt 악성 코드를 Lazarus를 특정하는 도구의 예로 들 수 있다.

지난 6월에는 US-CERT(미 침해사고대응팀) Manuscrypt의 새로운 버전인 'TYPEFRAME'에 대해 경고한 바 있다.



 

DarkHotel Daybreak(오른쪽)는 주로 Flash 플레이어 제로데이를 이용해 중국인을 노리는 스피어 피싱 이메일에 의존했다.
반면 Scarcruft가 전개한 Erebus의 주 표적은 한국이었다.

DarkHotel이 사용한 CVE-2018-8174 익스플로잇을 분석한 결과, 공격자가 URLMoniker를 사용하여 대상 컴퓨터의 기본 브라우저 설정을 무시하고 Microsoft Word 프로그램을 통해 Internet Explorer를 호출했다는 사실이 드러났다.
이 기법이 관찰된 첫 번째 사례로, 이 흥미로운 기법은 향후 다른 공격에서 사용될 가능성이 높다.

 

또한 상대적으로 조용했던 조직이 새로운 활동을 벌인 정황도 포착했다.
눈에 띄는 사례로는 LuckyMouse(APT27/Emissay Panda라고도 함)
아시아 내 ISP를 이용하여 유명 웹사이트에서 워터 홀 공격을 한 사례가 있다.
지난 6월 카스퍼스키랩은 중앙아시아 국가의 데이터 센터를 노린 LuckyMouse의 공격에 대한 기사를 내기도 했다.
뿐만 아니라
카자흐스탄과 몽골 정부 관계자들이 중국에서 회의를 개최할 시기에 LuckyMouse가 이들을 대상으로 한 새로운 활동을 시작했음을 발견한 바 있다.
지난 10개월 동안 몽골 관계자를 대상으로 한 중국어 기반 조직의 활동은 크게 두드러진다.

 

2018 2분기에 가장 주목할 만한 활동은 VPNFilter 악성 코드다.
FBI Sofacy Sandworm (Black Energy) APT 조직을 배후로 지목한 이 공격은 다수의 네트워킹 하드웨어 및 스토리지 솔루션을 표적으로 삼았으며 감염된 네트워킹 장치를 넘어 컴퓨터를 감염시키기 위해 악성 코드를 트래픽에 삽입하는 것까지 가능했다
.
카스퍼스키랩은
VPNFilter 가 이용하는 EXIF to C2 메커니즘에 대한 분석을 제공하고 있다.

 

이 공격은 고도의 기술력을 갖춘 공격자에게 네트워킹 하드웨어가 중요한 표적이 되었음을 잘 보여주는 사례로 꼽을 수 있다.
Cisco Talos
의 연구원들이 제공한 데이터에 따르면 이 공격은 전 세계에 걸쳐 광범위하게 진행되었다
.
카스퍼스키랩의 자체 분석 결과 거의 모든 국가에서 이 공격의 흔적이 발견되었다.

 

잘 알려진 조직의 활동

 지난 몇 년 활발했던 일부 조직의 활동이 뜸해진 것으로 보이나 위험성이 줄어든 것은 결코 아니다.
예컨대 Sofacy가 일부 표적에 대한 후속 단계로 새로운 무료 모듈을 사용하기 시작했다는 사실이 공개적으로 보고된 바 있다
.
그러나 카스퍼스키랩은 한걸음 더 나아가 Zebrocy를 배포하기 위해 Go 프로그래밍 언어로 작성된 새로운 다운로더와 더불어 새로운 도구가 추가됨으로서 Sofacy의 공격 기술이 어떻게 발전했는지 관찰했다.

 

Sofacy의 활동이 저조한 가운데에도 한 가지 주목할 만한 예외가 있다.
지난 1월 평창 동계 올림픽을 노린 올림픽 디스트로이어 공격 후 카스퍼스키랩이 유럽에서 동일한 공격자의 소행으로 의심되는 활동을 관측한 것이다
.
이번에는
러시아의 금융 기관과 유럽, 우크라이나 소재의 생화학 위협 방지 연구소가 표적이 된 것으로 보인다.

 

더욱 눈길을 끄는 것은 올림픽 디스트로이어와 Sofacy TTP(전술, 기법, 절차) OPSEC(공격 보안)가 유사하다는 점이다.
올림픽 디스트로이어가 정교한 위장 기술을 사용하고 있음을 고려하면 이 또한 잘못된 짐작일 수 있으나, 현재까지 카스퍼스키랩은 Sofacy가 올림픽 디스트로이어의 배후였을 가능성을 낮음~중간 정도로 보고 있다.

 

발견된 가장 흥미로운 공격 중 하나는 Turla의 임플란트로 추정되는 LightNeuron이다.
이 새로운 아티팩트는 Exchange 서버를 직접 노리는데 합법적인 표준 호출을 이용하여 이메일을 가로채거나 데이터를 유출하고, 피해자 대신 메일을 전송하기까지 한다
.
카스퍼스키랩은 이 공격자가 2016년부터 이 기법을 사용해 왔으며 Postfix Sendmail에 영향을 주는 버전도 존재한다고 보고 있다
.
현재까지 중동과 중앙 아시아 지역에서 LightNeuron의 피해자가 확인되고 있다.

 

새로운 공격자의 등장과 기존 공격자의 복귀

이따금씩 몇 달 또는 몇 년 간 활동이 없던 공격자가 새로운 악성 코드를 배포하며 놀라움을 안기곤 한다. 물론 이들의 활동을 미처 포착하지 못했을 가능성도 있지만 이러한 조직이 여전히 활동 중이라는 점만은 분명하다.

 

한 가지 좋은 예가 2016년 이후로 지나치게 잠잠한 WhiteWhale이다.
지난 4 월 카스퍼스키랩은 Taidoor Yalink 악성 코드군을 배포한 WhiteWhale의 새로운 공격 활동을 발견했다.

이 활동은 거의 집중적으로 일본 기관을 표적으로 하고 있었다.

 

북한과의 평화 회담을 둘러싼 치열한 외교 활동과 싱가포르에서 열린 북미 정상 회담이 이어지자 Kimsuky는 악성 코드를 배포하기 위해 이러한 상황을 활용하기로 전략을 짰다.
2017
년 말에서 2018년 초 대대적으로 업데이트된 공격 도구와 기술이 Kimsuky의 새로운 스피어 피싱 이메일에 동원되었다.

 

카스퍼스키랩은 또한 정교함이 떨어지는 Perfanly라는 새 활동을 발견했는데, 그 배후로 어떠한 알려진 조직을 지목하지는 못했다.
적어도 2017년부터 시작된
Perfanly주요 표적은 말레이시아와 인도네시아의 정부 관계자였다. Metasploit과 같은 일반적인 도구뿐 아니라 맞춤형 멀티스테이지 드로퍼가 이 공격에 사용된다.

 

결론

중국어 기반의 Winnti umbrella를 통해서도 드러났듯이 단순한 맞춤형 아티팩트로 탐지를 피해 침투한 후 공개적으로 제공되는 도구를 사용하는 기법은 특정 종류의 활동에 동향으로 자리를 잡은 듯 보인다.
또한 APT 사이버 스파이 공격에 진입 장벽이 없음을 알게 된 신규 조직에서도 이 기법을 사용하고 있다.

많은 조직의 활동이 저조한 듯 보이지만 조직이 완전히 사라지거나 사이버 범죄를 중단한 것은 아니다.
이들은 조직을 재정비하거나 전 세계적인 수준으로는 포착되지 않을 소규모 공격을 수행하기 위해 잠깐 숨을 고르는 중일 수도 있다
.
가장 흥미로운 사례 중 하나가 아시아의 정치 외교적 상황과 밀접하게 관련된 새로운 공격 활동을 벌이고 있는 LuckyMouse일 것이다
.
이 지역에서 다시 모습을 드러낸 다른 조직과의 연계는 확인할 수 없으나 가능성은 존재한다.


또한 NCSC(미 해군 지위본부) US-CERT Energetic Bear/Crouching Yeti 활동과 관련하여 몇 차례 경고의 목소리를 내기도 했다.
기본적으로 이는 과거 사건에 대한 경고이므로 현재의 활동 여부는 확실하지 않지만 특정 산업을 집중적으로 노리며 현재 활동 중인 고위험 공격 조직으로 간주하여 경계해야 할 것이다. Energetic Bear/Crouching Yeti가 해킹된 인프라를 사용하는 방식은 많은 2차 피해자를 양산하므로 Securelist에서 최신 분석 자료를 확인할 것을 권장한다.

 

네트워킹 하드웨어가 고급 수준의 공격자에게 중요한 공격 대상이 되었다는 사실도 이제는 자명해졌다.
지난 몇 달 동안 여러 사례가 관측되었고 VPNFilter는 이것을 대수롭지 않게 여기는 사람들에게 경종을 울리고 있다.

 

카스퍼스키랩은 계속해서 발견 가능한 모든 APT 활동을 추적하면서 흥미로운 정보와 동향을 정기적으로 전달할 것이다. intelreports@kasperksy.com으로 문의하면 보다 자세한 정보를 확인할 수 있다.



 
 

Total 186
번호 제   목 글쓴이 날짜 조회 추천
공지 Kaspersky Threat Intelligence Portal 소개 관리자 06-28 263 0
공지 [성과]국제 CC 인증 취득으로 성능과 무결성을… 관리자 05-16 462 0
공지 [성과]카스퍼스키랩, AV-TEST 3관왕 달성 관리자 03-29 597 0
공지 [성과]AV-TEST GmbH로부터 동급 최우수상 -2017년… 관리자 03-22 658 0
공지 [성과]카스퍼스키 5년 연속 최고의 품질을 입… 관리자 02-23 680 0
공지 [성과]2017년 카스퍼스키랩 매출 6억9천8백만 … 관리자 02-01 706 0
공지 [관심]리눅스 서버 보안 솔루션-실제도입 증… 관리자 02-02 760 0
공지 [성과]유럽 백신 1위-이코노미 조선 기사, "글… 관리자 08-11 930 0
공지 [성과]새로운 보안위협 정보 교환 협약으로 … 관리자 10-19 907 0
공지 [필독]전세계 리눅스커널 취약점 현황 추이 관리자 08-01 1223 0
공지 [성과]★★랜섬웨어와의 전쟁: IT 보안 회사와… 관리자 07-28 4191 0
공지 [성과]SC Magazine Awards Europe 2016에서 최고 등급 … 관리자 07-01 4461 0
공지 [성과]러시아 최대 사이버 범죄 조직 검거를 … 관리자 06-30 3833 0
공지 [성과]2015년에 랜섬웨어 공격-카스퍼스키 고… 관리자 05-30 3809 0
공지 랜섬웨어에 대응하는 Kaspersky Security for Windows … 관리자 04-07 4191 0
공지 랜섬웨어 기업에 치명타,그 심각성을 인식하… 관리자 12-09 4122 0
공지 [성과]카스퍼스키랩, 인터폴 및 유로폴과 협… 관리자 09-07 3620 0
186 광고 네트워크를 통한 악성 코드 설치 시도를… 관리자 08-09 4 0
185 새로운 파일리스 암호 화폐 채굴 악성 코드, P… 관리자 08-09 5 0
184 새로운 키워드로 등장한 프린터, e스포츠, 가… 관리자 08-03 14 0
183 가상 화폐의 사회공학 공격기법을 통한 피해 … 관리자 08-03 14 0
182 [성과]2018년 2분기 APT 동향 요약 보고서 관리자 08-03 18 0
181 아시아의 정치 외교적 표적과 새로운 공격을 … 관리자 08-03 15 0
180 사용자를 감시 및 추적하는 모바일 앱을 둘러… 관리자 08-03 14 0
179 [이슈]암호 화폐 채굴 악성 코드 피해자 연간 … 관리자 07-05 30 0
178 유럽의 생화학 위협 대응 기관을 노리며 활동… 관리자 06-28 24 0
177 Kaspersky Threat Intelligence Portal 소개 관리자 06-28 263 0
176 2018년 1분기 4배 증가한 Microsoft Office 익스플로… 관리자 06-21 36 0
175 축구팬을 농락하는 2018 FIFA 월드컵 티켓 판매 … 관리자 06-05 41 0
174 2018년 1분기 소셜 네트워크 피싱의 60%를 차지… 관리자 06-05 35 0
173 차세대 Kaspersky Endpoint Security for Business를 통한… 관리자 05-31 40 0
172 카스퍼스키랩 보안 교육 프로그램(악성 코드 … 관리자 05-31 37 0
 1  2  3  4  5  6  7  8  9  10    
회사소개 l 개인정보 취급방침 l 이용약관 l 오시는길