2020-11-29 10:30 (일)
최근 APT 공격, 흔적 지우는 와이퍼와 파일리스 악성코드 사용 증가
상태바
최근 APT 공격, 흔적 지우는 와이퍼와 파일리스 악성코드 사용 증가
  • 길민권 기자
  • 승인 2017.05.02 13:26
이 기사를 공유합니다

“네트워크 전반에 걸쳐 비정상적 활동을 탐지할 수 있는 보안 필요해”

▲ 카스퍼스키랩 보고서 내용
▲ 카스퍼스키랩 보고서 내용
2017년 1분기 동안 국가의 지원을 받는 사이버 공격의 정교함이 급격히 증가했으며 해커들의 관심이 점차 와이퍼(공격 흔적 삭제 툴)와 금융 범죄로 향하는 것으로 나타나고 있는 것으로 조사됐다.

새롭게 발행된 분기별 APT 트렌드 보고서에서는 두드러진 발전 양상을 보인 표적형 공격을 비롯해 기업 및 조직에서 경각심을 가져야 할 새로운 공격 트렌드를 조명한다. 이번 Q1 보고서의 내용은 카스퍼스키랩 전문가들이 해당 분기의 APT 해킹 활동을 관찰한 결과를 바탕으로 작성되었다.

2017년 Q1 보고서의 주요 내용은 다음과 같다.

◇와이퍼사용 추세

사이버 사보타주 활동을 비롯해 활동 이후 흔적을 삭제하고자 하는 용도로 표적형 공격 해커들이 와이퍼를 사용하고 있다. 새롭게 등장한 Shamoon 공격을 살펴보면 진화한 버전의 와이퍼가 사용되었다. 이후의 조사를 통해 StoneDrill이 발견되었고 그 코드는 해킹 조직인 NewsBeef(Charming Kitten)가 사용하는 코드와 유사하다는 사실도 드러났다. StoneDrill로 인한 피해는 대부분 유럽에서 발생하였다.

◇금융 범죄로 손을 뻗은 표적형 공격

오랜 시간 Lazarus 그룹을 추적한 결과 카스퍼스키랩은 BlueNoroff라고 불리는 하위 조직의 정체를 확인할 수 있었다. 이들은 폴란드의 중요 기관에 대한 공격을 비롯해 다양한 지역의 금융 기관을 적극적으로 공격했다. 악명 높은 방글라데시 은행 강도 사건의 배후 또한 BlueNoroff가 유력한 용의자로 지목되고 있다.

◇파일리스 악성 코드

파일리스 악성 코드는 표적형 공격 해커는 물론 일반적인 사이버 범죄자의 공격에도 이용되어 탐지를 피하고 포렌식 수사를 교란시키는 역할을 한다. 카스퍼스키랩의 전문가들은 Shamoon 공격과 동유럽의 여러 은행을 대상으로 하는 공격을 비롯해 다른 수많은 APT 해킹 활동에 래터럴(Lateral-측면) 무브먼트 공격 툴이 사용된 사례를 발견했다.

▲ 카스퍼스키랩 보고서 내용
▲ 카스퍼스키랩 보고서 내용
이창훈 카스퍼스키랩코리아 지사장은 “표적형 공격 환경은 끊임없이 진화하고 있으며 점점 더 많은 공격자들이 치밀한 준비 과정을 통해 새로운 빈틈과 기회를 찾아 활용하고 있다. 이에 위협 인텔리전스의 활용이 더욱 중요해지고 있다”며 “위협 인텔리전스를 통해 기업은 문제를 빠르게 파악하고 그 대응책을 준비할 수 있다. 예를 들어 1분기의 위협 동향을 살펴 보면 파일리스 악성 코드 공격 방지를 위한 사건 대응 및 메모리 포렌식의 필요성을 비롯해 네트워크 전반에 걸쳐 비정상적 활동을 탐지할 수 있는 보안의 필요성을 느낄 수 있게 된다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★