신규 해커 조직의 아시아 지역 공격 활동이 더욱 증가하는 가운데, 기존의 지능형 공격 조직들은 공격 수행 방식에 있어 보다 신중한 모습을 보인 것으로 나타났다.
지난 분기 APT 동향 요약은 카스퍼스키의 비공개 위협 인텔리전스 연구와 대중이 알아야 하는 주요 공격 전개 양상을 다룬 기타 출처를 바탕으로 작성됐다.
2020년 1분기 APT 관찰 결과 아시아 지역에서의 활동이 증가하고 있으며 동남아시아, 한국, 일본에서 특히 활발하게 일어나고 있음이 확인됐다. 카스퍼스키는 창의적이면서 비용이 낮은 캠페인을 무기로 하는 새로운 APT 조직이 등장해, 캑터스피티(CactusPete)나 라자러스(Lazarus) 같은 유명한 조직과 함께 존재감을 굳히고 있다고 설명했다.
뿐만 아니라 공격 및 악성코드 유포 수단으로 모바일 플랫폼에 대한 관심도도 증가하는 것으로 보인다. 최근 카스퍼스키는 홍콩 사용자를 노리고 iOS 및 안드로이드 기기의 취약점을 악용한 라이트스파이(LightSpy) 워터링 홀 공격과 동남아시아 지역을 겨냥한 안드로이드 사이버 스파이 공격 팬텀랜스(PhantomLance) 등 모바일에 집중한 몇몇 캠페인에 대한 보고서를 발표했다. 이 두 공격 모두 포럼이나 소셜미디어부터 구글 플레이 앱스토어까지 다양한 온라인 플랫폼을 활용하는데 성공하면서, 결과적으로 악성코드를 효과적으로 유포하는 방법을 제시했다.
아시아 지역을 노리는 APT 공격자만 모바일 임플란트를 개발하는 것은 아니다. 아프가니스탄과 인도 사용자를 노리고 ‘USB웜’이라는 새로운 모듈을 사용한 공격을 펼친 트랜스페이런트트라이브(TransparentTribe) 또한 안드로이드 기기를 감염시키기 위해 새로운 임플란트를 개발했다. 사용된 악성코드는 ‘AhMyth’라는 깃허브에서 구할 수 있는 오픈소스 안드로이드 RAT(원격 접근 트로이목마)의 수정 버전이었다.
또한 3월 중순부터 여러 APT 조직에서 피해자들을 유인하는 미끼로 코로나 팬데믹을 악용했으나 사용자로부터 돈을 갈취하기 위해 인기있는 주제를 활용하는 것일 뿐 TTP(전술, 기법, 절차)에 있어서 큰 변화를 나타내지는 않았다. 킴수키(Kimsuky), 하데스(Hades) 및 다크호텔(DarkHotel) 같은 조직에서 코로나 사태를 키워드로 사용했다.
카스퍼스키의 글로벌 위협 정보 분석 팀(GReAT)의 빈센트 디아즈 선임 보안 연구원은 “이제 우리가 모든 것을 완벽하게 파악하고 통제하는 것은 불가능하며, 아직 카스퍼스키의 감시망에 걸리지 않았거나 알지 못하는 공격 활동이 있을 것이다. 따라서 알려진 위협은 물론 알려지지 않은 위협으로부터 기업과 사용자를 보호하는 것이 중요하다”고 말했다. editor@itworld.co.kr