KL Technologies, 성공적인 사업 파트너
중국어 기반 해킹 조직, 2017년 3분기 지능형 표적 공격의 약 50% 차지
 
2017년 3분기에는 중국어 기반 해킹 조직이 사라지기는커녕 여전히 기승을 부리며 다양한 국가와 업계를 상대로 사이버 스파이 활동을 벌이고 있는 것이 분명하게 확인되었다. 카스퍼스키랩이 지난 3분기에 실시한 지능형 표적 공격 관련 연구 24건 중 총 10건에서 중국 지역의 여러 해킹 조직을 기반으로 한 활동이 주로 포착된 것이다. 최근 카스퍼스키랩에서 발간된 분기별 위협 인텔리전스 요약 보고서를 통해 이러한 현상 및 기타 다른 트렌드에 대해 확인해볼 수 있다.

2017년 7월부터 9월까지의 연구 결과에 따르면 표적 공격 분야에서 무엇보다 중국어, 러시아어, 영어, 한국어 기반 해킹 조직의 공격이 상당수 증가한 것으로 나타났다. 이 기간에는 특히 중국어 기반 조직이 활발한 움직임을 보였는데, 이들의 활동이 다시 고개를 들면서 다양한 조직뿐 아니라 정부 및 정치 기관을 비롯하여 대규모 지역 협약에도 악영향을 미치고 있다. 이제 국제 관계마저 지능형 표적 공격의 위험에 놓이게 된 것이다.

2017년 3분기에서 주목할 만한 트렌드는 다음과 같다.

중국어 기반 해킹 조직의 사이버 스파이 공격 기승: 가장 큰 주목을 받은 사건은 Netsarang/ShadowPadCCleaner 공격이었는데, 두 경우 모두 정상 소프트웨어 설치 패키지에 특정 백도어를 삽입하는 방식으로 이루어졌다. 특히 CCleaner 공격에서만 감염된 컴퓨터가 200만 대에 달해 2017년 최대 규모의 사이버 공격 중 하나로 기록되었다.
전략시설 및 경제부문 공격에 대한 중국어 기반 해킹 조직의 관심 증대: 최소 다음 2건의 보고에서 이러한 사례를 명확히 확인할 수 있다.
1. 러시아와 몽골의 항공사 및 연구 기관에 대한 IronHusky 공격: 이 공격은 지난 7월에 감지되었는데, 당시 중국어 기반 해킹 조직이 Poison Ivy 악성 코드의 변종으로 러시아와 몽골을 공격한 것으로 드러났다. 이 공격은 올해 초 몽골과 러시아의 주요 협상 안건이었던 몽골의 방공 전망과 연관되어 있었다.
2. 인도 및 러시아의 에너지 부문에 대한 H2ODecomposition 공격: 양국의 에너지 부문이 모두 "H2ODecomposition"라는 신종 악성 코드의 표적이 되었으며, 몇몇 사례에서는 이 악성 코드가 인도의 유명 안티 바이러스 솔루션(QuickHeal)으로 위장하기도 했다.

이와 더불어, 2017년 3분기에 카스퍼스키랩 연구진은 러시아어 기반 해킹 조직에 대한 여러 건의 보고서를 발행했다. 대부분은 금융 및 ATM 공격에 대한 보고서였으나, 1건의 보고서가 Sofacy의 여름철 활동에 대해 다루고 있어 이 조직이 여전히 활동 중임을 알 수 있다.

영어 기반 해킹 조직과 관련해서는 3분기에 Lamberts 해킹 도구군의 새로운 종류인 Red Lambert가 발견되었다. Lamberts는 적어도 2008년부터 하나 이상의 해킹 조직이 유명 기관을 상대로 사용해온 정교한 공격 도구군이다. Red Lambert는 네트워크 기반 백도어로서 이전에 실시된 Grey Lambert 분석 도중 발견되었으며, C&C 통신 시 하드 코딩된 SSL 인증서를 대신해 사용된다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “사이버 범죄자의 준비성과 기술이 갈수록 정교해지고 그 지리적 영향권도 확대된다는 점에서 표적 공격의 위협은 진화를 거듭하고 있습니다. 중국어 기반 해킹 조직의 부상은 위협 인텔리전스에 투자하고 최신 트렌드 및 발전 사항에 대한 조직의 통찰력을 강화하는 것이 얼마나 중요한지 다시 한번 일깨워줍니다.”라고 이야기한다.

한국어 기반 해킹 조직
카스퍼스키랩에서는 한국어 기반 해킹 조직에 대해 2개의 보고서를 작성했다. 보고서는 Scarcruft와 Bluenoroff에 대해 집중적으로 다루고 있다. Scarcruft는 주로 대한민국의 유명한 기관이나 정치 단체를 표적으로 삼았으며 데이터를 파괴하는 악성 코드와 사이버 스파이 활동을 위한 악성 코드를 모두 사용했다. 금전을 목적으로 하는 해킹 조직 Lazarus 소속인 Bluenoroff는 Manuscrypt를 사용해 코스타리카의 카지노를 노렸다. 흥미로운 사실은 이 카지노는 이미 6개월 전에 Bluenoroff의 공격을 받은 적이 있다는 점이다. Bluenoroff가 일시적으로 액세스 권한을 잃었다가 다시 침투하려고 시도한 것으로 보인다.

한국어 기반 해킹 조직에 대한 2개의 보고서:
Scent of ScarCruft (ScarCruft의 자취)
Bluenoroff hit Casino with Manuscrypt (Manuscrypt로 카지노를 공격한 Bluenoroff)

한편, 3분기 APT 트렌드 보고서에는 카스퍼스키랩 구독자에게만 제공되는 위협 인텔리전스 리포트의 연구 결과가 요약되어 있다. 2017년 3분기 동안 카스퍼스키랩 글로벌 위협 정보 분석팀은 포렌식 및 악성 코드 추적을 지원하고자 보안 침해 지표(IOC) 데이터 및 YARA 규칙과 함께 24건의 위협 인텔리전스 리포트 구독자 전용 보고서를 발간했다.
자세한 내용은 다음 주소로 문의할 수 있다. intelreports@kaspersky.com

카스퍼스키랩 소개
1997년 설립되어 2017년 20주년이 된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com을 참조하십시오.
17-11-22 18:04