2024-04-27 21:20 (토)
“새로운 악성 코드 변종 개발한 북한 APT 공격조직 라자루스”
상태바
“새로운 악성 코드 변종 개발한 북한 APT 공격조직 라자루스”
  • 길민권 기자
  • 승인 2023.07.28 17:41
이 기사를 공유합니다
카스퍼스키, 2분기 최신 APT 동향 발표

2023년 2분기 APT(지능형 지속 공격) 동향에 대한 카스퍼스키 최신 보고서가 공개됐다. 이번 보고서에서는 도구 업데이트, 새로운 악성 코드 변종의 등장, 공격자의 신규 기술 도입 등 이 기간의 APT 활동을 집중 조명한다.

이전에는 알려지지 않았던 iOS 악성 코드 플랫폼을 사용하여 오랫동안 이어진 "트라이앵귤레이션 작전(Operation Triangulation)" 공격의 노출이 새롭게 밝혀진 중요 내용이다. 전문가들은 모두가 주의해야 한다고 판단한 다른 양상 변화도 관찰하였다. 

이 보고서의 주요 내용은 다음과 같다.

◆아시아태평양의 새로운 공격자, Mysterious Elephant의 출현

카스퍼스키는 "Mysterious Elephant"라는 이름으로 불리며 아시아태평양 지역에서 Elephants 조직에 속해 활동하는 새로운 공격자를 발견했다. 이 공격자는 최신 공격에서 피해자의 컴퓨터에서 파일과 명령을 실행하고 악성 서버로부터 파일이나 명령을 받아 감염된 시스템에서 실행할 수 있는 새로운 백도어군을 도입하였다. 카스퍼스키 연구진은 Confucius 및 SideWinder와의 공통점도 발견했지만, Mysterious Elephant는 독특하고 고유한 TTP 세트를 보유하고 있어 이들 그룹과 구분된다.

◆도구 업그레이드: 새로운 악성 코드 변종을 개발한 라자루스(Lazarus), macOS를 공격한 블루노로프(BlueNoroff) 등

공격자들이 끊임없이 공격 기법을 개선하고 있는 가운데, Lazarus는 MATA 프레임워크를 업그레이드하고 정교한 MATA 악성 코드군의 새로운 변종인 MATAv5를 내놓았다. BlueNoroff는 금융 관련 공격에 집중하는 Lazarus 하위 조직으로, 최근 공격에서 트로이목마 PDF 리더를 사용하였고 macOS 악성 코드를 실행하거나 Rust 프로그래밍 언어를 사용하는 등 새로운 공격 방법과 프로그래밍 언어를 활용하고 있다. 그뿐 아니라, ScarCruft APT 조직은 MOTW(Mark-of-the-Web) 보안 메커니즘을 우회하는 새로운 감염 방법을 개발하였다. 이처럼 계속해서 진화하는 공격자의 전술은 사이버 보안 전문가들에게 새로운 과제를 던져준다.

◆여전히 APT 활동의 주요 동인이 되는 지리정치적 영향

APT 공격은 여전히 지리적으로 분산되어 있으며 공격 조직은 유럽, 남미, 중동 및 다양한 아시아 지역 등에 공격을 집중하고 있다. 공고한 지리정치적 배경이 있는 사이버 스파이 활동이 계속해서 이러한 시도의 핵심 주제가 되고 있다.

카스퍼스키 글로벌 위협 정보 분석팀(GReAT)의 선임 보안 연구원인 David Emm은 다음과 같이 말한다. 

"일부 공격자는 사회공학과 같은 익숙한 전략을 고수하는 반면, 다른 조직은 계속 진화하며 도구를 새롭게 갖추고 활동을 확장합니다. 또한 ‘트라이앵귤레이션 작전’ 공격을 수행하는 조직처럼 새로운 진화형 공격 조직이 계속 나타나고 있습니다. 이 조직은 제로클릭 iMessage 익스플로잇을 통해 유포되며 이전에는 알려지지 않았던 iOS 악성 코드 플랫폼을 사용합니다. 글로벌 기업은 위협 인텔리전스로 경계를 늦추지 않고 올바른 방어 도구를 준비하여 기존의 위협과 새로 발생하는 위협으로부터 스스로를 보호하는 것이 매우 중요합니다. 당사의 분기별 리뷰는 APT 공격 조직들 사이에서 가장 중요한 발전을 집중 조명하여  보안 담당자들이 관련 위험에 대응하고 위험을 완화하는 것을 돕기 위해 작성되었습니다."

표적형 공격의 피해자가 되는 일을 예방하기 위해 카스퍼스키에서는 다음과 같은 조치를 취할 것을 권고하고 있다.

-시스템 보안을 확실히 한다. 운영 체제와 기타 타사 소프트웨어를 최신 버전으로 즉각 업데이트하는 것이 매우 중요하다. 잠재적 취약점 및 보안 위험으로부터 보호하기 위해 필수적으로 정기 업데이트 일정을 유지해야 한다.

-GReAT 전문가들이 개발한 카스퍼스키 온라인 교육을 통해 사이버 보안 팀의 역량을 향상시켜 최신 표적형 위협에 맞서 대응하기 위한 준비를 갖춘다.

-최신 위협 인텔리전스 정보를 사용하여 공격자들이 실제로 사용하는 TTP의 최근 내용을 잘 파악한다.

-엔드포인트 수준의 탐지, 조사 및 시의적절한 대처를 위해 Kaspersky Endpoint Detection and Response와 같은 EDR 솔루션을 구축한다.

-전용 서비스는 널리 알려진 공격에 대응하는 데 도움이 될 수 있다. Kaspersky Managed Detection and Response 서비스는 침입자가 목적을 달성하기 전에 침입을 초기에 파악하여 차단하는 데 도움이 된다.  사건을 접하는 경우, Kaspersky Incident Response 서비스는 이에 대응하고 영향을 최소화하는 데 도움이 된다. 특히, 감염된 노드를 확인하고 향후 비슷한 공격으로부터 인프라를 보호할 수 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트