Home > 전체기사

APT 단체들, 옛 기법과 신기술 혼합해 방어선 흐트러트려

  |  입력 : 2020-11-04 12:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3사분기 동안 여러 가지 행동 패턴 보여준 APT 단체들...활동량 늘어나
옛 기법 고수하는 단체도 있고 신기술 적용하는 단체도 있고...방어 혼란 가중


[보안뉴스 문가용 기자] APT 그룹들이 지정학과 외교 상황이라는 안개 속에 숨어서 자신들의 목적을 꾸준히 달성하고 있다. 그런 와중에 다양한 전략과 기법을 선보이며 수사와 추적에 혼란을 주고 있기도 하다. 이런 APT 단체들이 3사분기 동안 보여준 행동 패턴들을 보안 업체 카스퍼스키(Kaspersky)가 정리해 발표했다.

[이미지 = utoimage]


보고서를 통해 카스퍼스키는 “어떤 단체는 자신들의 오랜 방식을 꾸준히 유지하기도 하고 어떤 단체는 코로나처럼 새롭게 발생하는 상황들과 신기술을 끊임없이 응용하면서 피해자들을 괴롭힌다”며 “방어자 입장에서는 오래된 수법과 새로운 기술이 혼재된 공격이 나타나는 것이라 무척이나 까다롭다”고 설명했다. 3사분기에는 플랫폼을 노린 공격이 증가했고, 감염 방식이 새로워졌으며, 정상적인 도구와 서비스를 공격에 활용하는 경우가 특히 늘어났다고 한다. 이런 APT 단체 간 유행을 가장 잘 보여주는 두 그룹은 데스스토커(DeathStalker)와 모자익리그레서(MosaicRegressor)라고 한다.

먼저 데스스토커는 2018년부터 똑같은 방식으로, 거의 비슷한 표적들만을 계속해서 공략하는 중이라고 카스퍼스키는 발표했다. “주로 법과 금융 산업의 조직들을 같은 전략으로 노리는 게 데스스토커입니다. 너무 광범위한 지역에서 공격을 진행하고 있기 때문에 기업들의 민감 정보를 전문적으로 노리는 용병 단체로 보고 있습니다. 해킹을 대행해 준다는 것이죠. 주로 파워셸을 기반으로 한 임플란트인 파워싱(Powersing)을 공격에 활용합니다.”

이들은 최근 유행하는 소식들을 활용한 피싱 이메일을 통해 피해자들을 공략하는 편인데, 최근 들어 기술적인 진화를 꾀한 흔적이 나타났다고 카스퍼스키는 강조했다. “전에는 인터넷 포럼이나 코드 공유 사이트를 활용해 C&C 활동을 했다면 최근 들어서는 임베드 된 IP 주소나 도메인 이름을 통해 멀웨어를 C&C 서버와 직접 연결시킵니다. 또한 정교한 스피어피싱 메일 한 통이 아니라 여러 번의 이메일 교환을 통해 피해자를 속이려는 시도도 눈에 띄기 시작했습니다.”

게다가 새로운 파워셸 임플란트인 파워페퍼(PowerPepper)가 얼마 전부터 발견되기도 했다고 한다. “이전에는 데스스토커의 공격 중에 발견되지 않았던 요소입니다. 파워페퍼는 마이크로소프트 워드 문서를 통해 퍼지며, C&C 서버와의 통신을 위해 DoH(DNS over HTTPS) 프로토콜을 활용합니다.”

지난 10월 카스퍼스키는 가짜 UEFI 펌웨어 이미지를 통한 멀웨어 감염 기법을 사용하는 공격 캠페인에 대해 공개한 바 있다. 펌웨어 이미지를 조작하여 멀웨어를 퍼트리는 고급 기법을 구사한 공격 단체에는 모자익리그레서라는 이름이 붙었다. 이들은 주로 외교 기관과 아프리카, 아시아, 유럽의 비정부 조직들을 노리는 것으로 밝혀졌다.

UEFI는 저층위 플랫폼 펌웨어의 구성요소로, OS를 로딩하거나 펌웨어 업데이트를 진행하는 기능을 가지고 있다. 모자익리그레서는 이 UEFI 펌웨어를 조작함으로써 OS가 정상적으로 로딩된 이후 자신들이 원하는 멀웨어가 실행되도록 만들 수 있다. 따라서 OS를 새롭게 설치한다고 하더라도 멀웨어가 사라지지 않는다. 심지어 하드드라이브를 바꿔도 공격을 막을 수 없게 된다. UEFI 조작을 통한 공격은 상당히 혁신적인 공격 기법이다. 혁신을 이뤄낸 모자익리그레서는 최근 활동량을 늘리며 동남아시아와 중동 지역을 주로 공략하는 중이라고 한다.

이것이 보안 담당자들에게는 어떤 의미를 갖게 될까? 카스퍼스키는 보고서에 다음과 같이 썼다. “사이버 보안 전문가들에게 이런 현상이 갖는 의미는, 과거에 정상적으로 사용되어 온 환경이나 요소들에서 발생하는 새로운 위협을 탐지하고 와해시키는 데에 자원을 투자해야 한다는 것입니다. 여태까지 괜찮았다고 여겨진 요소들이라고 해서 모니터링과 검사를 소홀히 해서는 안 된다는 뜻이죠.” 그러면서 카스퍼스키는 “덜 유명한 언어로 작성된 멀웨어, 정상 클라우드 서비스에 호스팅 된 문건 등에 특히 주의를 기울여야 한다”고 강조했다.

3줄 요약
1. 신기술 도입하기 시작한 APT 단체들, 방어에 혼란 가져옴.
2. 특히 감염 방식, C&C 연결 방식, 정상적인 서비스 활용 등에서 혁신이 눈에 띔.
3. 과거에 괜찮았던 서비스나 컴퓨팅 요소들도 이제 다시 확인해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협