보안

“2018년 2분기, 아시아 지역에서 APT 공격 활동 활발”…카스퍼스키랩

편집부 | ITWorld 2018.07.17
카스퍼스키랩은 최근 발간한 분기별 위협 인텔리전스 요약 보고서를 인용해, 2018년 2분기에는 주로 아시아 지역에서 APT 공격 활동이 활발하게 관찰되었다고 밝혔다.

이러한 활동에는 잘 알려진 조직과 비교적 덜 알려진 조직이 모두 연관돼 있었다. 많은 조직이 이 지역의 민감한 정치 외교적 사건을 표적으로 삼거나 그 시기를 노려 공격을 전개했다.

2018년 2분기 카스퍼스키랩의 연구원들은 APT(지능형 지속 공격) 조직들의 새로운 도구와 기술, 공격을 잇따라 발견했는데, 그 중에는 수 년간 활동이 없던 조직도 있었다.

아시아는 APT 조직의 관심이 집중된 지역이었다. 한국어 기반 조직 라자러스(Lazarus)나 스카크러프트(Scarcruft) 같은 지역 기반 조직의 활동이 두드러졌으며, 러시아어 기반의 털라(Turla)가 중앙 아시아와 중동을 노리고 사용한 라이트뉴런(LightNeuron)도 발견됐다.

카스퍼스키랩은 2018년 2분기에서 주목할 만한 동향으로 우선, 올림픽 디스트로이어의 배후 조직의 귀환을 꼽았다. 2018년 1월 평창 동계 올림픽에 대한 공격 이후, 카스퍼스키랩 연구원들은 러시아의 금융 기관과 유럽 및 우크라이나의 생화학 위협 방지 연구소에 가해진 공격을 발견했는데, 이를 올림픽 디스트로이어와 동일한 공격자의 소행으로 추정하고 있다. 많은 지표들이 낮음∼중간 정도의 가능성으로 올림픽 디스트로이어와 러시아어 기반 조직 소파시(Sofacy)와의 연관성을 시사하고 있다.

유명 APT인 라자러스/블루노로프(Lazarus/BlueNoroff)는 남미의 카지노는 물론 대형 사이버 스파이 캠페인의 일환으로 터키의 금융 기관을 노렸다는 지표들도 발견됐다. 이러한 공격 활동은 최근의 북한 평화 회담 무드와는 관계 없이 돈을 목적으로 한 라자러스의 활동은 계속되고 있음을 보여준다.

스카크러프트 APT 활동은 상대적으로 활발한 것으로 관찰됐다. 이 조직은 안드로이드 악성 코드를 사용하고 연구원들이 POORWEB이라 명명한 새로운 백도어 공격을 전개했다.

APT 27로도 알려진 중국어 기반 조직 럭키마우스(LuckyMouse) APT는 과거 아시아 지역 ISP를 이용해 유명 웹 사이트를 통해 워터홀 공격을 가한 것이 관측된 바 있다. 이번에는 카자흐스탄과 몽골 정부 관계자들이 중국에서 회의를 열 시기에 이들을 노렸다는 사실이 발견됐다.

시스코 탈로스(Cisco Talos)가 발견해낸 VPN 필터 공격은 FBI가 그 배후로 소파시 또는 샌드웜(Sandworm)을 지목했는데, 네트워킹 하드웨어와 스토리지 솔루션이 몹시 취약하다는 사실을 보여주는 계기가 되기도 했다. VPN 필터는 나아가 트래픽에 악성코드를 삽입해 네트워킹 장치 너머의 컴퓨터까지 감염시킬 수 있다. 카스퍼스키랩의 분석 결과, VPN 필터의 흔적은 전세계 대부분의 국가에서 확인됐다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “2018년 2분기는 APT 활동 측면에서 매우 흥미로운 시기로, 지난 몇 년간 카스퍼스키랩이 예측했던 위협 요소가 얼마나 현실화 됐는지 확인해주는 공격이 있다”며, “특히, 네트워킹 하드웨어가 표적 공격을 받기 매우 쉬우며 이런 장치를 집중적으로 노린 수준 높은 공격의 가능성을 카스퍼스키랩은 지속적으로 경고해왔다”고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.