윈도우 서버 직접 노린 정교한 사이버 스파이 작전
[보안뉴스 강현주 기자] 정부, 금융, 산업 등 주요 기관의 윈도우 서버 시스템을 겨냥한 사이버 공격인 ‘패시브뉴런’(PassiveNeuron)이 발견됐다.
29일 글로벌 사이버 보안 리더 카스퍼스키(한국 지사장 이효은)는 자사 글로벌 연구 분석팀(GReAT)의 이 같은 연구 결과를 밝혔다.
이 공격은 2024년 12월부터 활동이 포착되어 2025년 8월까지 지속된 것으로 확인됐다.
약 6개월간의 비활동 기간 이후, 패시브뉴런은 활동을 재개하며 새로운 공격 도구를 활용해 표적 네트워크에 침투 및 지속적으로 접근 권한을 확보하고 있다. 공격자들이 사용한 주요 도구는 △‘Neursite’ △‘NeuralExecutor’ △‘Cobalt Strike’ 총 3가지로, 이 중 2개는 새롭게 발견된 악성코드다.
[자료: 카스퍼스키]
Neursite는 모듈형 백도어로, 시스템 정보 수집, 실행 중인 프로세스 제어, 네트워크 트래픽 라우팅 등을 수행해 내부망 측면 이동을 가능하게 한다.
NeuralExecutor는 NET 기반 임플란트로, 추가 페이로드를 다운로드 및 실행할 수 있으며, 다양한 통신 방식을 지원한다.
Cobalt Strike는 보안 점검용으로 개발된 침투 테스트 프레임워크이지만, 위협 행위자들이 공격 도구로 악용하는 사례가 많다.
카스퍼스키 연구팀에 따르면, 패시브뉴런 샘플 코드 내부의 함수명이 키릴 문자로 대체되어 있었다. 이는 분석을 혼란시키기 위한 의도적 ‘가짜 깃발’(False Flag)일 가능성이 있다. 카스퍼스키는 공격자의 전술, 기술, 절차를 기반으로 중국어 사용 위협 그룹으로 추정하고 있으며, 2024년 초에도 동일한 그룹의 정교한 활동을 감지한 바 있다.
게오르기 쿠체린 스퍼스키 GReAT 소속 연구원은 “패시브뉴런의 특징은 조직 네트워크의 중추인 서버 시스템을 직접 겨냥한다는 점”이라며 “인터넷에 노출된 서버는 APT 그룹에게 매력적인 표적이며, 하나의 서버가 침해되면 핵심 시스템 전체로 접근이 확대될 수 있다. 공격 표면을 최소화하고 서버 애플리케이션에 대한 지속적인 모니터링을 통해 위협 징후를 조기에 탐지·차단하는 것이 중요하다”고 말했다.
이효은 카스퍼스키 한국지사장은 “패시브뉴런의 서버 대상 공격은 한국에 심각한 경고가 되고 있다. 이미 정부·금융 분야 등 주요 인프라를 중심으로 사이버 사고가 빈번하게 발생하고 있는데, 서버가 침해될 경우 그 피해는 치명적일 것”이라며 “국내의 사이버 보안 인력 부족 문제까지 겹쳐 있다. 이에 카스퍼스키는 위협 인텔리전스(TI), EDR, 보안 교육을 통합한 다계층 방어 체계 구축을 지원하고 있다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 정부, 금융, 산업 등 주요 기관의 윈도우 서버 시스템을 겨냥한 사이버 공격인 ‘패시브뉴런’(PassiveNeuron)이 발견됐다.
29일 글로벌 사이버 보안 리더 카스퍼스키(한국 지사장 이효은)는 자사 글로벌 연구 분석팀(GReAT)의 이 같은 연구 결과를 밝혔다.
이 공격은 2024년 12월부터 활동이 포착되어 2025년 8월까지 지속된 것으로 확인됐다.
약 6개월간의 비활동 기간 이후, 패시브뉴런은 활동을 재개하며 새로운 공격 도구를 활용해 표적 네트워크에 침투 및 지속적으로 접근 권한을 확보하고 있다. 공격자들이 사용한 주요 도구는 △‘Neursite’ △‘NeuralExecutor’ △‘Cobalt Strike’ 총 3가지로, 이 중 2개는 새롭게 발견된 악성코드다.
[자료: 카스퍼스키]
Neursite는 모듈형 백도어로, 시스템 정보 수집, 실행 중인 프로세스 제어, 네트워크 트래픽 라우팅 등을 수행해 내부망 측면 이동을 가능하게 한다.
NeuralExecutor는 NET 기반 임플란트로, 추가 페이로드를 다운로드 및 실행할 수 있으며, 다양한 통신 방식을 지원한다.
Cobalt Strike는 보안 점검용으로 개발된 침투 테스트 프레임워크이지만, 위협 행위자들이 공격 도구로 악용하는 사례가 많다.
카스퍼스키 연구팀에 따르면, 패시브뉴런 샘플 코드 내부의 함수명이 키릴 문자로 대체되어 있었다. 이는 분석을 혼란시키기 위한 의도적 ‘가짜 깃발’(False Flag)일 가능성이 있다. 카스퍼스키는 공격자의 전술, 기술, 절차를 기반으로 중국어 사용 위협 그룹으로 추정하고 있으며, 2024년 초에도 동일한 그룹의 정교한 활동을 감지한 바 있다.
게오르기 쿠체린 스퍼스키 GReAT 소속 연구원은 “패시브뉴런의 특징은 조직 네트워크의 중추인 서버 시스템을 직접 겨냥한다는 점”이라며 “인터넷에 노출된 서버는 APT 그룹에게 매력적인 표적이며, 하나의 서버가 침해되면 핵심 시스템 전체로 접근이 확대될 수 있다. 공격 표면을 최소화하고 서버 애플리케이션에 대한 지속적인 모니터링을 통해 위협 징후를 조기에 탐지·차단하는 것이 중요하다”고 말했다.
이효은 카스퍼스키 한국지사장은 “패시브뉴런의 서버 대상 공격은 한국에 심각한 경고가 되고 있다. 이미 정부·금융 분야 등 주요 인프라를 중심으로 사이버 사고가 빈번하게 발생하고 있는데, 서버가 침해될 경우 그 피해는 치명적일 것”이라며 “국내의 사이버 보안 인력 부족 문제까지 겹쳐 있다. 이에 카스퍼스키는 위협 인텔리전스(TI), EDR, 보안 교육을 통합한 다계층 방어 체계 구축을 지원하고 있다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg){kind=spacer}
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
