2019-09-14 23:20 (토)
3분기 중국어 기반 해킹 조직 활동…전체 APT 공격의 50% 차지
상태바
3분기 중국어 기반 해킹 조직 활동…전체 APT 공격의 50% 차지
  • 길민권 기자
  • 승인 2017.11.20 13:45
이 기사를 공유합니다

카스퍼스키랩 “APT 공격 연구 24건 중 총 10건이 중국 지역 해킹 조직 활동으로 확인돼”

▲ 카스퍼스키랩 제공
▲ 카스퍼스키랩 제공
카스퍼스키랩은 올해 한국어 기반 해킹 조직에 대해 2개의 보고서를 작성했다. 보고서는 Scarcruft와 Bluenoroff에 대해 집중적으로 다루고 있다. Scarcruft는 주로 대한민국의 유명한 기관이나 정치 단체를 표적으로 삼았으며 데이터를 파괴하는 악성 코드와 사이버 스파이 활동을 위한 악성 코드를 모두 사용했다.

금전을 목적으로 하는 해킹 조직 라자루스(Lazarus) 소속인 블루노로프(Bluenoroff)는 Manuscrypt를 사용해 코스타리카의 카지노를 노렸다. 흥미로운 사실은 이 카지노는 이미 6개월 전에 Bluenoroff의 공격을 받은 적이 있다는 점이다. Bluenoroff가 일시적으로 액세스 권한을 잃었다가 다시 침투하려고 시도한 것으로 보인다.

또한 카스퍼스키랩 측은 중국어 기반 해킹 조직이 2017년 3분기 지능형 표적 공격의 약 50% 차지한다고 밝혔다.

2017년 3분기에는 중국어 기반 해킹 조직이 사라지기는커녕 여전히 기승을 부리며 다양한 국가와 업계를 상대로 사이버 스파이 활동을 벌이고 있는 것이 확인되었다. 카스퍼스키랩이 지난 3분기에 실시한 지능형 표적 공격 관련 연구 24건 중 총 10건에서 중국 지역의 여러 해킹 조직을 기반으로 한 활동이 주로 포착된 것이다. 최근 카스퍼스키랩에서 발간한 분기별 위협 인텔리전스 요약 보고서를 통해 이러한 현상 및 기타 다른 트렌드에 대해 확인해볼 수 있다고 전했다.

또 올해 7월부터 9월까지 연구 결과에 따르면, 표적 공격 분야에서 무엇보다 중국어, 러시아어, 영어, 한국어 기반 해킹 조직의 공격이 상당수 증가한 것으로 나타났다. 이 기간에는 특히 중국어 기반 조직이 활발한 움직임을 보였다. 이들의 활동이 다시 고개를 들면서 다양한 조직뿐 아니라 정부 및 정치 기관을 비롯해 대규모 지역 협약에도 악영향을 미치고 있다. 이제 국제 관계마저 지능형 표적 공격의 위험에 놓이게 된 것이다.

다음은 2017년 3분기에서 주목할 만한 트렌드 요약 내용이다.

◇중국어 기반 해킹 조직의 사이버 스파이 공격 기승=가장 큰 주목을 받은 사건은 Netsarang/ShadowPad와 CCleaner 공격이었다. 두 경우 모두 정상 소프트웨어 설치 패키지에 특정 백도어를 삽입하는 방식으로 이루어졌다. 특히 CCleaner 공격에서만 감염된 컴퓨터가 200만 대에 달해 2017년 최대 규모의 사이버 공격 중 하나로 기록되었다.

◇전략시설 및 경제부문 공격에 대한 중국어 기반 해킹 조직의 관심이 증가하고 있다. 다음 2건의 보고에서 이러한 사례를 명확히 확인할 수 있다.

1. 러시아와 몽골의 항공사 및 연구 기관에 대한 IronHusky 공격=이 공격은 지난 7월에 감지되었다. 당시 중국어 기반 해킹 조직이 Poison Ivy 악성 코드의 변종으로 러시아와 몽골을 공격한 것으로 드러났다. 이 공격은 올해 초 몽골과 러시아의 주요 협상 안건이었던 몽골의 방공 전망과 연관되어 있었다.

2. 인도 및 러시아의 에너지 부문에 대한 H2ODecomposition 공격=양국의 에너지 부문이 모두 "H2ODecomposition"라는 신종 악성 코드의 표적이 되었으며, 몇몇 사례에서는 이 악성 코드가 인도의 유명 안티 바이러스 솔루션(QuickHeal)으로 위장하기도 했다.

이와 더불어, 2017년 3분기에 카스퍼스키랩 연구진은 러시아어 기반 해킹 조직에 대한 여러 건의 보고서를 발행했다. 대부분은 금융 및 ATM 공격에 대한 보고서였지만, 1건의 보고서가 Sofacy의 여름철 활동에 대해 다루고 있어 이 조직이 여전히 활동 중임을 알 수 있다.

영어 기반 해킹 조직과 관련해서는 3분기에 Lamberts 해킹 도구군의 새로운 종류인 ‘Red Lambert’가 발견되었다. Lamberts는 적어도 2008년부터 하나 이상의 해킹 조직이 유명 기관을 상대로 사용해온 정교한 공격 도구군이다. Red Lambert는 네트워크 기반 백도어로서 이전에 실시된 Grey Lambert 분석 도중 발견되었으며, C&C 통신 시 하드 코딩된 SSL 인증서를 대신해 사용된다.

이창훈 카스퍼스키랩코리아 지사장은 “사이버 범죄자의 준비성과 기술이 갈수록 정교해지고 그 지리적 영향권도 확대된다는 점에서 표적 공격의 위협은 진화를 거듭하고 있다. 중국어 기반 해킹 조직의 부상은 위협 인텔리전스에 투자하고 최신 트렌드 및 발전 사항에 대한 조직의 통찰력을 강화하는 것이 얼마나 중요한지 다시 한번 일깨워준다”라고 말한다.

3분기 APT 트렌드 보고서에는 카스퍼스키랩 구독자에게만 제공되는 위협 인텔리전스 리포트의 연구 결과가 요약되어 있다. 2017년 3분기 동안 카스퍼스키랩 글로벌 위협 정보 분석팀은 포렌식 및 악성 코드 추적을 지원하고자 보안 침해 지표(IOC) 데이터 및 YARA 규칙과 함께 24건의 위협 인텔리전스 리포트 구독자 전용 보고서를 발간했다. 보다 자세한 사항은 아래 링크를 참조하면 된다.

-https://securelist.com/apt-trends-report-q3-2017/83162/

★정보보안 대표 미디어 데일리시큐!★