2019.11.08

카스퍼스키 “정보 수집 위해 한국과 동남아 지역 노리는 한국어 기반 APT 조직 발견”

편집부 | ITWorld
카스퍼스키는 2019년 3분기 카스퍼스키 보고서를 발표하며, 은행, 정부, 금융기관, 군사조직의 정보를 노린 공격이 활발한 양상을 보이고 있다고 밝혔다. 

2019년 3분기에는 ▲모바일 메신저 또는 암호화폐 앱을 가장해 암호화폐 개인투자자 및 조직을 대상으로 공격을 펼치는 안드로이드 악성코드 ▲도구를 계속 변경하며 은행을 공격하는 악명 높은 APT(지능형 지속 공격) 조직 ▲CVE-2017-10271를 악용해 업데이트된 툴을 유포 중인 라자루스(Lazarus)의 하위 조직 등 다양한 해킹 조직의 활동이 두드러졌다.

공격 대상 및 수법은 다양했지만 모두 한국어 기반의 공격 그룹이었으며, 한반도 및 동남아시아 지역에 유포되었다는 공통점이 있다. 

KONNI, 개인 암호화폐 탈취
카스퍼스키 연구진이 새롭게 발견한 활동 중에는 모바일 메신저 또는 암호화폐 관련 앱으로 위장한 안드로이드 악성코드가 있다.

카스퍼스키는 한국 현지 CERT와 긴밀하게 협업해 공격자 서버를 분석한 끝에 신종 악성코드를 확인하고 KONNI와의 연관성을 밝힐 수 있었다. KONNI는 과거 인권 단체를 비롯해 한국과 이해관계가 있는 개인을 공격하는 데 사용되었던 윈도우 악성코드의 일종이다.

또한 KONNI는 안드로이드 기기를 제어할 수 있는 기능을 갖추고서 개인의 암호화폐를 탈취하는 것으로도 잘 알려져 있다.

은밀하게 활동하는 블루노로프
카스퍼스키의 모니터링을 통해 악명 높은 APT 조직 라자루스의 하위 조직인 블루노로프(BlueNoroff)가 2019년 3분기 동안 미얀마의 은행을 감염시킨 사실도 드러났다.

공격자는 내부망 이동을 통해 은행 시스템 엔지니어 소유의 SWIFT 관련 호스트를 비롯한 중요 호스트에 접근한 것으로 보이며, 빠른 정보 공유와 즉각적인 조치 덕분에 더 이상의 피해는 발생하지 않았다. 연구진은 추가 분석을 통해 이러한 이 그룹의 전체 공격 과정에 대해 중요한 정보를 얻을 수 있었다.

또한 카스퍼스키의 조사를 통해 파워셀(Powershell) 스크립트를 지속적으로 변경하고 활용하는 등, 탐지를 피하기 위해 블루노로프가 취하는 전략도 밝혀졌다. 블루노로프는 명령줄 매개변수에 따라 패시브/액티브 백도어나 터널링 도구까지도 실행할 수 있는 매우 정교한 악성 소프트웨어도 사용하고 있다.

안다리얼 APT 조직, 한국 보안업체 소유 서명 사용
라자루스의 또 다른 하위 조직인 안다리얼(Andariel) APT 조직은 CVE-2017-10271을 악용하여 웹로직(Weblogic) 서버를 변조해 새로운 C2 인프라를 구축하기 시작했다. 공격자는 한국의 한 보안업체 소유의 합법적인 서명을 사용해 악성코드를 제작해 탐지를 최대한 회피했으며, 다행히 한국 CERT의 빠른 대응으로 해당 서명은 곧 폐기되었다.

원래 한국에서 정치외교적 스파이 행위와 금전적인 이득에 주력해온 안다리얼은 아폴로제우스(ApolloZeus)라고 하는 새로운 유형의 백도어도 사용하고 있다. 복잡하고 교묘한 이 백도어는 비교적 대규모의 셸코드를 사용하고 있어 분석이 쉽지 않다.

카스퍼스키의 아티팩트 조사로 밝혀진 바에 따르면 이들 조직은 새로운 공격의 초기 준비 단계에 있다.

카스퍼스키코리아 관계자는 “3분기에는 특히 은행을 비롯해 투자회사, 암호화폐 거래소 등에 공격을 시도한 블루노로프와 같은 APT 조직이 눈에 띄었다”며, “기업과 기관에서는 이러한 정교한 형태의 공격에 대비하기 위해서 최근의 공격 흐름과 그들의 공격 방식에 대한 이해가 중요하다”고 설명했다.  

카스퍼스키APAC의 엔터프라이즈 사업본부 강하라 이사는 “인터넷 연결이 가능한 제품과 서비스가 널리 보급되면서 사이버 위협도 더욱 정교해지고 있다”며, “세계 최고 수준의 모바일 IT 인프라를 갖춘 한국은 사이버 범죄자들에게 매력적인 목표로, 사이버 공격의 위험성을 줄이기 위해 기업은 정기적으로 보안 환경을 점검해야 한다”고 말했다. editor@itworld.co.kr


2019.11.08

카스퍼스키 “정보 수집 위해 한국과 동남아 지역 노리는 한국어 기반 APT 조직 발견”

편집부 | ITWorld
카스퍼스키는 2019년 3분기 카스퍼스키 보고서를 발표하며, 은행, 정부, 금융기관, 군사조직의 정보를 노린 공격이 활발한 양상을 보이고 있다고 밝혔다. 

2019년 3분기에는 ▲모바일 메신저 또는 암호화폐 앱을 가장해 암호화폐 개인투자자 및 조직을 대상으로 공격을 펼치는 안드로이드 악성코드 ▲도구를 계속 변경하며 은행을 공격하는 악명 높은 APT(지능형 지속 공격) 조직 ▲CVE-2017-10271를 악용해 업데이트된 툴을 유포 중인 라자루스(Lazarus)의 하위 조직 등 다양한 해킹 조직의 활동이 두드러졌다.

공격 대상 및 수법은 다양했지만 모두 한국어 기반의 공격 그룹이었으며, 한반도 및 동남아시아 지역에 유포되었다는 공통점이 있다. 

KONNI, 개인 암호화폐 탈취
카스퍼스키 연구진이 새롭게 발견한 활동 중에는 모바일 메신저 또는 암호화폐 관련 앱으로 위장한 안드로이드 악성코드가 있다.

카스퍼스키는 한국 현지 CERT와 긴밀하게 협업해 공격자 서버를 분석한 끝에 신종 악성코드를 확인하고 KONNI와의 연관성을 밝힐 수 있었다. KONNI는 과거 인권 단체를 비롯해 한국과 이해관계가 있는 개인을 공격하는 데 사용되었던 윈도우 악성코드의 일종이다.

또한 KONNI는 안드로이드 기기를 제어할 수 있는 기능을 갖추고서 개인의 암호화폐를 탈취하는 것으로도 잘 알려져 있다.

은밀하게 활동하는 블루노로프
카스퍼스키의 모니터링을 통해 악명 높은 APT 조직 라자루스의 하위 조직인 블루노로프(BlueNoroff)가 2019년 3분기 동안 미얀마의 은행을 감염시킨 사실도 드러났다.

공격자는 내부망 이동을 통해 은행 시스템 엔지니어 소유의 SWIFT 관련 호스트를 비롯한 중요 호스트에 접근한 것으로 보이며, 빠른 정보 공유와 즉각적인 조치 덕분에 더 이상의 피해는 발생하지 않았다. 연구진은 추가 분석을 통해 이러한 이 그룹의 전체 공격 과정에 대해 중요한 정보를 얻을 수 있었다.

또한 카스퍼스키의 조사를 통해 파워셀(Powershell) 스크립트를 지속적으로 변경하고 활용하는 등, 탐지를 피하기 위해 블루노로프가 취하는 전략도 밝혀졌다. 블루노로프는 명령줄 매개변수에 따라 패시브/액티브 백도어나 터널링 도구까지도 실행할 수 있는 매우 정교한 악성 소프트웨어도 사용하고 있다.

안다리얼 APT 조직, 한국 보안업체 소유 서명 사용
라자루스의 또 다른 하위 조직인 안다리얼(Andariel) APT 조직은 CVE-2017-10271을 악용하여 웹로직(Weblogic) 서버를 변조해 새로운 C2 인프라를 구축하기 시작했다. 공격자는 한국의 한 보안업체 소유의 합법적인 서명을 사용해 악성코드를 제작해 탐지를 최대한 회피했으며, 다행히 한국 CERT의 빠른 대응으로 해당 서명은 곧 폐기되었다.

원래 한국에서 정치외교적 스파이 행위와 금전적인 이득에 주력해온 안다리얼은 아폴로제우스(ApolloZeus)라고 하는 새로운 유형의 백도어도 사용하고 있다. 복잡하고 교묘한 이 백도어는 비교적 대규모의 셸코드를 사용하고 있어 분석이 쉽지 않다.

카스퍼스키의 아티팩트 조사로 밝혀진 바에 따르면 이들 조직은 새로운 공격의 초기 준비 단계에 있다.

카스퍼스키코리아 관계자는 “3분기에는 특히 은행을 비롯해 투자회사, 암호화폐 거래소 등에 공격을 시도한 블루노로프와 같은 APT 조직이 눈에 띄었다”며, “기업과 기관에서는 이러한 정교한 형태의 공격에 대비하기 위해서 최근의 공격 흐름과 그들의 공격 방식에 대한 이해가 중요하다”고 설명했다.  

카스퍼스키APAC의 엔터프라이즈 사업본부 강하라 이사는 “인터넷 연결이 가능한 제품과 서비스가 널리 보급되면서 사이버 위협도 더욱 정교해지고 있다”며, “세계 최고 수준의 모바일 IT 인프라를 갖춘 한국은 사이버 범죄자들에게 매력적인 목표로, 사이버 공격의 위험성을 줄이기 위해 기업은 정기적으로 보안 환경을 점검해야 한다”고 말했다. editor@itworld.co.kr


X