À̹ø¿¡ ¹ß°ßµÈ Ä·ÆäÀÎÀº Àü¿¡ ¾ø´ø ±Ô¸ð ÀÚ¶ûÇØ...ÁøÂ¥ Ç¥Àû ¹«¾ùÀÎÁö ¾Ë ¼ö ¾ø¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Áß±¹ÀÇ »çÀ̹öÀü ´ÜüÀÎ APT41ÀÌ ¼¼°è ¿©·¯ ±â¾÷°ú Á¶Á÷µéÀ» °Ü³ÉÇØ °ø°ÝÀ» ÁøÇà Áß¿¡ ÀÖ´Ù°í º¸¾È ¾÷ü ÆÄÀ̾î¾ÆÀÌ(FireEye)°¡ º¸°í¼¸¦ ¹ßÇ¥ÇØ °æ°íÇß´Ù. APT41Àº ÇöÀç ½ÃÆ®¸¯½º(Citrix), ½Ã½ºÄÚ(Cisco) Á¶È£ ¸Å´ÏÁö¿£Áø(Zoho ManageEngine)ÀÇ Á¦Ç°±ºµé¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡À» È°¹ßÈ÷ ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
APT41Àº ÃÖ¼Ò 2012³âºÎÅÍ È°µ¿ÇØ¿Â °ÍÀ¸·Î ¾Ë·ÁÁø ´Üü´Ù. ±× µ¿¾È Áö¿ª°ú Á¾·ù¿¡ »ó°ü¾øÀÌ ´Ù¾çÇÑ ´ÜüµéÀ» °ø°ÝÇß´Ù. »çÀ̹öÀü ºÎ´ëµéÀÌ ÁÖ·Î ÇÏ´Â ¡®Á¤Âû¡¯ È°µ¿µµ ÆîÄ¡Áö¸¸, ±ÝÀüÀûÀÎ ¸ñÇ¥¸¦ ´Þ¼ºÇϱâ À§ÇÑ °ø°Ýµµ ÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® Àִµ¥, ÀÌ ¶§¹®¿¡ À̵éÀÇ Á¤È®ÇÑ Á¤Ã¼¼º(Á¤Ã¼°¡ ¾Æ´Ï¶ó)Àº ¾ÆÁ÷ ¹àÇôÁöÁö ¾Ê°í ÀÖ´Ù.
ÆÄÀ̾î¾ÆÀÌ´Â À̹ø º¸°í¼¸¦ ÅëÇØ ¡°Áß±¹ÀÇ ÇØÄ¿µéÀÌ 1¿ù 20ÀϺÎÅÍ 3¿ù 11ÀÏ »çÀÌ¿¡ 75°³ÀÇ ÆÄÀ̾î¾ÆÀÌ °í°´»ç¸¦ °ø°ÝÇß´Ù¡±°í ¹àÈ÷¸ç, ¡°ÀºÇà, ±¹¹æ, °ÇÃà, Á¤ºÎ, ±â¼ú, ÀÇ·á, °íµî±³À°, Á¦Á¶, ¹ý¹«, ¾ð·Ð, ¿¡³ÊÁö, ºñ¿µ¸®, Á¦¾à, ¼®À¯, ºÎµ¿»ê, ¿î¼Û, ¿©Çà, ÆíÀǽü³, ¿ø°Å¸® Åë½Å µî ´Ù¾çÇÑ ºÐ¾ß¿¡ °ÉÃÄ À̵éÀÇ ÈçÀûÀÌ ¹ß°ßµÆ´Ù¡±°í ¼³¸íÇß´Ù.
Áö¿ªº°·Î ³ª´³À» ¶§ °ø°ÝÀ» ¹ÞÀº ±¹°¡´Â ¹Ì±¹, ij³ª´Ù, ½ºÀ§½º, Çʸ®ÇÉ, È£ÁÖ, ¿µ±¹, UAE, Çɶõµå, ÇÁ¶û½º, ¸»·¹À̽þÆ, µ§¸¶Å©, ¸ß½ÃÄÚ, īŸ¸£, »ç¿ìµð¾Æ¶óºñ¾Æ, ½º¿þµ§, ÀϺ», Æú¶õµåÀÎ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÇÏÁö¸¸ APT41ÀÌ Æ¯Á¤ Ãë¾àÁ¡À» ½ºÄµÇØ ´ë±Ô¸ð °ø°ÝÀ» ¹«ÀÛÀ§·Î °¨ÇàÇÑ °ÍÀÎÁö, ¾Æ´Ï¸é Ç¥Àû °ø°ÝÀ» ÇÏ´Â °úÁ¤ÀÎÁö´Â È®½ÇÄ¡ ¾Ê´Ù°í ÆÄÀ̾î¾ÆÀÌ´Â µ¡ºÙ¿´´Ù.
APT41ÀÌ °¡Àå Àû±ØÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ´Â Ãë¾àÁ¡Àº CVE-2019-19781ÀÌ´Ù. ½ÃÆ®¸¯½ºÀÇ ADC¿Í °ÔÀÌÆ®¿þÀÌ(Gateway) Á¦Ç°µé¿¡¼ ¹ß°ßµÈ °ÍÀ¸·Î, Áö³ 12¿ù¿¡ °ø°³µÈ ¹Ù ÀÖ´Ù. ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ½ÇÁ¦ ÀͽºÇ÷ÎÀÕ °ø°ÝÀÌ Ã³À½À¸·Î ¹ß°ßµÈ °ÍÀº 1¿ùÀÌ´Ù.
ÆÄÀ̾î¾ÆÀÌÀÇ º¸°í¼¿¡ ÀÇÇϸé APT41ÀÌ ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çϱ⠽ÃÀÛÇÑ °Ç Áö³ 1¿ù 20ÀϺÎÅͶó°í ÇÑ´Ù. ±×¸®°í 1¿ù 23ÀϺÎÅÍ 2¿ù 1ÀÏ »çÀÌ¿¡´Â Àá½Ã ÈÞ½ÄÀ» ÃëÇߴµ¥, ÀÌ´Â Áß±¹ÀÇ °¡Àå Å« ¸íÀýÀÎ ÃáÀý°ú Á¤È®È÷ °ãÄ£´Ù. ¶ÇÇÑ 2¿ù 2ÀϺÎÅÍ 19ÀÏ »çÀÌ¿¡µµ È޽ıⰡ ÀÖ¾ú´Âµ¥, ÀÌ´Â Äڷγª ¹ÙÀÌ·¯½º¿Í °ü·ÃÀÌ ÀÖ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
±×·± ÈÄ 2¿ù 21ÀÏ APT41ÀÇ È°µ¿ ÈçÀûÀ» ÆÄÀ̾î¾ÆÀÌ°¡ ¹ß°ßÇß´Ù. À̹ø¿¡´Â ½Ã½ºÄÚÀÇ RV320°ú RV325 ¶ó¿ìÅ͵éÀ» °ø·«ÇÏ°í ÀÖ¾ú´Ù. ÀÌ Àåºñµé¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡Àº ÀÌ¹Ì 2019³â 1¿ùºÎÅÍ ½ÇÁ¦ ÇØÅ· °ø°Ý¿¡ ¾Ç¿ëµÇ´ø °ÍÀÌ´Ù.
±×·¯´õ´Ï 3¿ù 8ÀÏ, APT41Àº CVE-2020-10189 Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çϱ⠽ÃÀÛÇß´Ù. ¸Å´ÏÁö¿£Áø µ¥½ºÅ©Åé ¼¾Æ®·²(ManageEngine Desktop Central)¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡À¸·Î, 3¿ù 5ÀÏ¿¡ ¼¼ºÎ »çÇ×ÀÌ °ø°³µÈ ¹Ù ÀÖ´Ù. Áï °ø°³ 3ÀÏ ¸¸¿¡ ÀͽºÇ÷ÎÀÕÀ» ½ÃÀÛÇÑ °ÍÀÌ´Ù. ÆÄÀ̾î¾ÆÀÌ´Â ¡°ÀÌ Ãë¾àÁ¡À» Áß±¹ÀÇ ¶Ç ´Ù¸¥ ÇØÅ· ±×·ìÀÎ À©Æ¼(Winnti)¿Í ¹Ù·ý(Barium)µµ ÀͽºÇ÷ÎÀÕ ÇÑ °Í °°´Ù¡±°í µ¡ºÙ¿´´Ù.
APT41ÀÇ ¶Ç ´Ù¸¥ Ư¡Àº ½ÇÁ¦ °ø°ÝÀ» ÁøÇàÇÒ ¶§ ³Î¸® °ø°³µÈ µµ±¸µé¸¸À» »ç¿ëÇÑ´Ù´Â °ÍÀÌ´Ù. ƯÈ÷ ¹ÌÅÍÇÁ¸®ÅÍ(Meterpreter)¿Í ÄÚ¹ßÆ®½ºÆ®¶óÀÌÅ©(Cobalt Strike)°¡ ¾Ö¿ëµÇ´Â ¸ð½ÀÀ» ÃÖ±Ù µé¾î º¸ÀÌ°í ÀÖ´Ù°í ÇÑ´Ù. ¶ÇÇÑ ÃæºÐÇÑ Á¤ÂûÀ» ÁøÇàÇØ °ø°Ý °¡Ä¡°¡ ÀÖ´Â ´ë»óµéÀ» ¼±Á¤ÇÑ ÈÄ °í±Þ ¸Ö¿þ¾î¸¦ ½É´Â, ²Ï³ª Á¶½É½º·¯¿î ÆÐÅÏÀ¸·Î °ø°ÝÀ» °¨ÇàÇÏ´Â °Íµµ À̵éÀÌ ²ÙÁØÈ÷ º¸¿© ¿Â ¸ð½ÀÀÌ´Ù. ±×·³¿¡µµ ÆÄÀ̾î¾ÆÀÌ´Â ¡°ÃÖ±Ù ¹ß°ßµÈ Áß±¹¹ß Á¤Âû °ø°Ý Áß °¡Àå ±¤¹üÀ§ÇÑ Ä·ÆäÀΡ±À̶ó°í °æ°íÇß´Ù.
APT41Àº 2017³â ³Ý»ç¶û(NetSarang)ÀÇ ¼ÒÇÁÆ®¿þ¾î¸¦ Ç¥ÀûÀ¸·Î ÇØÅ· °ø°ÝÀ» ½Ç½ÃÇÑ ¹Ù ÀÖ´Ù. ´ç½Ã ³Ý»ç¶ûÀº ±ä±Þ °øÁö¸¦ ȨÆäÀÌÁö¿¡ ¶ç¿ì°í, KISA ¿ª½Ã ±ä±Þ ¼ö»ç¿¡ µé¾î°¬¾ú´Ù.
À̹ø Ä·ÆäÀο¡ ´ëÇÑ ÆÄÀ̾î¾ÆÀÌÀÇ º¸°í¼ ¿ø¹®Àº ¿©±â(https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html)¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù.
3ÁÙ ¿ä¾à
1. 2017³â ³Ý»ç¶û °ø°ÝÇß´ø Áß±¹ÀÇ APT41, ´ë±Ô¸ð Ä·ÆäÀÎ ¹úÀÌ´Â Áß.
2. Ç¥ÀûÀÌ µÇ°í ÀÖ´Â »ê¾÷ ºÐ¾ßµµ ´Ù¾ç, ±¹°¡µµ ´Ù¾ç. ¼Õ²ÅÈ÷´Â ±Ô¸ð.
3. ½ÃÆ®¸¯½º, ½Ã½ºÄÚ, ¸Å´ÏÁö¿£Áø Á¦Ç°¿¡¼ ¹ß°ßµÇ°í °ø°³µÈ Ãë¾àÁ¡ ÁýÁßÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>