2024-10-05 23:50 (토)
로그프레소 “해외서 발생한 사이버 공격, 해외 진출 한국 기업에도 큰 피해 줄 수 있어”
상태바
로그프레소 “해외서 발생한 사이버 공격, 해외 진출 한국 기업에도 큰 피해 줄 수 있어”
  • 길민권 기자
  • 승인 2024.07.18 13:57
이 기사를 공유합니다

2024년 7월 CTI 월간 리포트 발행…베트남 대상으로 한 머스탱 판다의 APT 공격 사례 분석
“해외 진출 한국기업, 현지 사이버 공격 사례에 주의” 당부
머스탱 판다가 2024년 4월과 5월에 베트남을 겨냥해 영어 프로그램 안내문과 조세 관련 공문서로 위장한 악성파일로 APT 공격을 실시했다. (로그프레소)
머스탱 판다가 2024년 4월과 5월에 베트남을 겨냥해 영어 프로그램 안내문과 조세 관련 공문서로 위장한 악성파일로 APT 공격을 실시했다. (로그프레소)

클라우드 SIEM 전문기업 로그프레소(대표 양봉열)가 ‘2024년 7월 CTI(Cyber Threat Intelligence) 월간 리포트’를 발행했다고 18일 밝혔다.

CTI는 사이버 공격 관련 정보를 수집하고 분석해 사이버 위협에 신속하고 정확하게 대응하고자 가공한 형태의 정보다. 로그프레소는 고객들이 사이버 대응 전략 수립할 수 있도록 발생 가능한 위협과 사례를 분석해 매월 CTI 리포트로 공유하고 있다. 해당 리포트는 로그프레소 홈페이지에서 확인할 수 있다.

로그프레소는 지난 달 수집한 데이터를 기반으로 7월 CTI 리포트를 작성했으며, 베트남을 대상으로 한 머스탱 판다(Mustang Panda)의 APT 공격 사례를 집중 분석해 공개했다. 로그프레소는 최근 CTI 리포트에서 아시아 국가를 대상으로 하는 사이버 공격의 양상을 집중적으로 다루고 있으며, 일본과 대만, 인도에 이어 베트남을 네 번째 지역으로 선정했다.

머스탱 판다는 중국을 기반으로 하는 위협그룹으로 중국의 반정부 종교단체와 아시아 정부기관, NGO, 언론사를 대상으로 많은 공격을 시도하고 있다. 공격 대상의 언어를 이용해 정부기관을 사칭하거나, 코로나19와 러시아-우크라이나 분쟁 등의 주요 국제 사건을 활용해 스피어 피싱을 진행하는 것으로 악명 높다.

머스탱 판다는 베트남을 겨냥한 최근 두 차례 공격에서 영어 프로그램 안내문과 세금 관련 공문으로 위장하여 악성코드 실행을 유도했다. 이들은 정상 프로그램이 악성코드를 실행하도록 유도하는 DLL 사이드 로딩(Side-Loading) 기법을 활용해 PC를 장악한 후 중요 문서를 주기적으로 유출하고, 키로깅으로 문서 암호와 계정 암호 등 사용자의 중요 정보를 유출했다.

장상근 로그프레소 연구소장은 “삼성전자, LG전자, 현대자동차 등 국내 굴지 기업들의 공장이 위치하고 있는 베트남은 한국과 경제적으로 긴밀한 관계를 맺고 있다”며 “많은 기업들이 진출해있는 해외에서 발생한 사이버 공격은 한국 업체에도 큰 피해를 줄 수 있으므로 지속적으로 모니터링하고, 주의를 기울여야 한다”라고 전했다.

또한 로그프레소는 베트남 사용자의 크리덴셜 유출 정보 약 8억9천 건을 수집해 악성 봇 감염 실태를 분석했다. 베트남의 경우, 다른 국가에 비해 민간 서비스에서의 계정정보 유출이 전체의 96% 가량을 차지하며 높은 비중을 보였다.

공공 분야에서는 서비스 관리자로 추정되는 다수의 계정정보가 유출된 것을 확인했으며, 대부분의 관리자 페이지가 일원화돼있어 공격자가 관리자 페이지를 추측하고 크리덴셜 스터핑 공격을 감행할 수 있는 취약점을 분석했다.

이 외에도 로그프레소 CTI 리포트 7월호는 △ 카카오톡 계정 탈취 취약점 △ 스노우플레이크 사용자 크리덴셜 및 데이터 탈취 △ 뉴욕타임즈 깃허브 데이터 유출 △ 개인정보 유출 공공기관 역대 최다 발생 △ 북한 해커와 연관된 신규 macOS 백도어 등 다양한 내용을 포함하고 있다.

로그프레소는 현재 누적 침해 지표(IoC) 4억 7백만 건 이상, PI(Privacy Intelligence) 1,723억 건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적 중이다. 또한 수집한 정보를 자사 SIEM(Security Information and Event Management, 통합보안관제) 및 SOAR(Security Orchestration, Automation and Response, 보안운영자동화)과 동기화해 실시간으로 활용할 수 있도록 지원하고 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★