한국 및 인도 대상 APT 공격 사례 분석
로그프레소 2024년 6월 CTI 월간 리포트 발행
[보안뉴스 박은주 기자] 최근 APT 공격은 목적에 맞춰 모듈화하고, 오픈소스를 활용해 빠르게 변화하고 있다. 특히 APT 공격 그룹에서 자체 제작한 악성코드에 오픈소스 공격 툴을 더한 형태로 공격이 이뤄지고 있어 예방과 대응책이 필요한 상황이다.
![](https://www.boannews.com/media/upFiles2/2024/07/154842427_3432.jpg)
[이미지=gettyimagesbank]
로그프레소 연구소 장상근 소장은 오픈소스 활용 공격 툴을 사용하는 APT 공격에 관해 “시스템과 DB권한 탈취에 더해 브라우저에 저장된 크리덴셜 유출을 주된 목적으로 한다”며 “공격 대상 정보를 사전에 충분히 확보한 후, 실제 공격을 수행해 효율성을 강화하고 있다”고 설명했다.
이때, APT(Advanced Persistent Threat)는 대상 조직 보안을 저해하거나 중요 정보를 유출하는 것을 목적으로, 고도로 정교하고 지속해서 이뤄지는 공격을 의미한다. 한국을 겨냥한 제노RAT(XenoRAT) 공격 사례를 예로 들 수 있다.
과거에는 특정 공격 목적을 위해 코니(Konni), 플러그X(PlugX) 등의 악성코드 빌더를 이용해 관리자 권한을 확보하는 것이 주였다. 2010년대 게임사를 공격하며 상업적 이익을 추구하던 APT 공격 조직은 현재 남아시아 특정 국가로 대상을 확대하고 있다. 이들은 공격 대상의 브라우저 접근 정보와 인증 정보인 크리덴셜을 추출하기 위해 다수를 대상으로 한 워터링홀 공격 대신 특정 사용자를 식별해 APT 공격을 감행했다.
![](https://www.boannews.com/media/upFiles2/2024/07/154842427_7788.jpg)
▲인도 공군 본부 PR 정책 PDF 파일로 위장한 악성코드[자료=로그프레소]
오픈소스 툴을 이용한 공격은 앞으로 일반적인 공격 방식으로 확산될 위험이 있다. 인도 공군을 대상으로 이루어졌던 공격 사례를 살펴보면, 깃허브에 공개된 고스틸러(GoStealer) 코드를 기반으로 악성코드를 제작해 정보를 수집하고, 정상적인 서비스를 통해 획득한 정보를 유출한 것을 확인할 수 있다.
![](https://www.boannews.com/media/upFiles2/2024/07/154842427_3104.jpg)
▲PDF 파일 위장한 악성코드 실행 후 브라우저 정보가 유출되는 과정[자료=로그프레소]
공격자는 인도 공군에서 관심 보일 만한 내용을 첨부파일로 보냈고, 이 첨부파일을 실행하도록 유도했다. PDF 파일로 위장한 악성코드를 실행하게 되면 브라우저에 내장된 쿠키와 로그인 자격 증명 정보가 추출되며, 해당 데이터가 정상적인 슬랙(Slack) 서비스 채널을 통해 유출된 것을 볼 수 있다.
로그프레소는 증가하고 있는 APT 공격에 효과적으로 대응하기 위해 CTI 서비스를 즉각적인 탐지 체계를 구축하고, 최근 생성된 신규 도메인에 대한 탐지 및 차단 규정을 마련할 것을 권고했다. 더불어 메일에 첨부된 압축 파일에 대한 관리와 검증 체계를 갖춰야 한다고 덧붙였다.
위 내용은 로그프레소가 ‘2024년 6월 CTI(Cyber Threat Intelligence) 월간 리포트’를 통해 확인할 수 있다. 6월 수집한 데이터를 기반으로 6월 CTI 리포트를 작성했으며, 오픈소스 공격 툴을 활용하며 진화하고 있는 APT 공격 사례 및 5월에 발생한 다양한 사이버 보안 이슈를 다루고 있다.
이 외에도 로그프레소 6월 CTI 리포트는 △ 프랑스 체육부 장관의 소셜 미디어 계정 해킹 △ 가상사설망을 통한 사이버 공격 △ 해적판 소프트웨어로 유포되는 멀웨어 △ 성심당 온라인 쇼핑몰 해킹 △ 전자서명 서비스 위장 피싱 공격 등 다양한 내용을 포함하고 있다.
CTI는 사이버 공격 관련 정보를 수집하고 분석해 사이버 위협에 신속하고 정확하게 대응하고자 가공한 형태의 정보다. 가트너에서는 현존하거나 발생 가능한 위협에 대해 신속한 의사결정을 하기 위한 각종 사이버 위협 정보, 메커니즘, 지표, 예상 결과에 따른 대응전략 수립 등을 포괄하는 증거 기반의 지식이라고 정의한다.
로그프레소는 현재 누적 침해 지표(IoC) 4억 7백만 건 이상, PI(Privacy Intelligence) 1,723억 건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적 중이다. 또한 수집한 정보를 자사 SIEM(Security Information and Event Management, 통합보안관제) 및 SOAR(Security Orchestration, Automation and Response, 보안운영 자동화)와 동기화해 실시간으로 활용할 수 있도록 지원하고 있다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>