카스퍼스키, 2분기 최신 APT 동향 발표...새로운 공격 도구와 새 공격그룹 등 공개

[보안뉴스 원병철 기자] 북한 해킹그룹 라자루스가 최근 새로운 공격도구를 활용하고, 라자루스의 하위 그룹으로 알려진 블루노로프는 프레임워크를 업그레이드하고 새로운 공격도구를 활용하는 것으로 조사됐다. 보안기업 카스퍼스키는 최근 ‘2023년 2분기 APT(지능형 지속 공격) 동향에 대한 최신 보고서’를 공개하고 이와 같은 내용을 소개했다. 이번 보고서에서는 도구 업데이트, 새로운 악성 코드 변종의 등장, 공격자의 신규 기술 도입 등 최근 APT 활동을 집중 조명했다.


공격자들이 끊임없이 공격 기법을 개선하고 있는 가운데, 라자루스(Lazarus)는 MATA 프레임워크를 업그레이드하고 정교한 MATA 악성 코드군의 새로운 변종인 MATAv5를 내놓았다. 블루노로프(BlueNoroff)는 금융 관련 공격에 집중하는 Lazarus 하위 조직으로, 최근 공격에서 트로이목마 PDF 리더를 사용했고 macOS 악성 코드를 실행하거나 Rust 프로그래밍 언어를 사용하는 등 새로운 공격 방법과 프로그래밍 언어를 활용하고 있다. 뿐만 아니라, 스카크러프트(ScarCruft) APT 조직은 MOTW(Mark-of-the-Web) 보안 메커니즘을 우회하는 새로운 감염 방법을 개발했다. 이처럼 계속해서 진화하는 공격자의 전술은 사이버 보안 전문가들에게 새로운 과제를 던져준다.

아시아태평양의 새로운 공격자, Mysterious Elephant의 출현
카스퍼스키는 ‘Mysterious Elephant’라는 이름의 새로운 공격자를 발견했다. 이들은 Elephant 조직의 일원으로, 최근 공격에서 피해자의 컴퓨터에서 파일과 명령을 실행하고 악성 서버로부터 파일이나 명령을 받아 감염된 시스템에서 실행할 수 있는 새로운 백도어군을 도입했다. 카스퍼스키 연구진은 Confucius 및 SideWinder와의 공통점도 발견했지만, Mysterious Elephant는 독특하고 고유한 TTP 세트를 보유하고 있어 이들 그룹과 구분된다.

APT 공격은 여전히 지리적으로 분산되어 있으며 공격 조직은 유럽, 남미, 중동 및 다양한 아시아 지역 등에 공격을 집중하고 있다. 공고한 지리·정치적 배경이 있는 사이버 스파이 활동이 계속해서 이러한 시도의 핵심 주제가 되고 있다.

카스퍼스키 글로벌 위협 정보 분석팀(GReAT)의 선임 보안 연구원인 David Emm은 “일부 공격자는 사회공학과 같은 익숙한 전략을 고수하는 반면, 다른 조직은 계속 진화하며 도구를 새롭게 갖추고 활동을 확장합니다. 또한 ‘트라이앵귤레이션 작전’ 공격을 수행하는 조직처럼 새로운 진화형 공격 조직이 계속 나타나고 있습니다. 이 조직은 제로클릭 iMessage 익스플로잇을 통해 유포되며, 이전에는 알려지지 않았던 iOS 악성 코드 플랫폼을 사용합니다. 글로벌 기업은 위협 인텔리전스로 경계를 늦추지 않고 올바른 방어 도구를 준비하여 기존의 위협과 새로 발생하는 위협으로부터 스스로를 보호하는 것이 매우 중요합니다”라고 밝혔다.

표적형 공격의 피해자가 되는 일을 예방하기 위해 카스퍼스키는 다음과 같은 조치를 취할 것을 권고하고 있다.

· 시스템 보안을 확실히 한다. 운영 체제와 기타 타사 소프트웨어를 최신 버전으로 즉각 업데이트하는 것이 매우 중요하다. 잠재적 취약점 및 보안 위험으로부터 보호하기 위해 필수적으로 정기 업데이트 일정을 유지해야 한다.
· GReAT 전문가들이 개발한 카스퍼스키 온라인 교육을 통해 사이버 보안 팀의 역량을 향상시켜 최신 표적형 위협에 맞서 대응하기 위한 준비를 갖춘다.
· 최신 위협 인텔리전스 정보를 사용하여 공격자들이 실제로 사용하는 TTP의 최근 내용을 잘 파악한다.
· 엔드포인트 수준의 탐지, 조사 및 시의적절한 대처를 위해 Kaspersky Endpoint Detection and Response와 같은 EDR 솔루션을 구축한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>