전 세계 주요 공격 트렌드 : 제로데이 활용, MFA 우회 위한 AiTM 활용, 피싱 공격 진화
가장 많은 표적이 된 분야 : 금융서비스 17.3%, 비즈니스/전문 서비스 13.3%, 하이테크 12.4% 순
2023년 가장 빈번한 악성코드 : 백도어, 랜섬웨어, 웹셸, 터널러, 록빗 랜섬웨어 순
[보안뉴스 김경애 기자] 전 세계 주요 공격 트렌드로 △제로데이 활용 △MFA 우회 위한 AiTM 활용 △피싱 공격 진화 등이 제시됐다. 공격자들은 주로 데이터 탈취와 금전탈취 목적으로 공격했으며, 공격자들의 공격 방법은 취약점 공격, 피싱, 사전보안 침해 등으로 분석됐다. 또한 가장 많이 사용된 악성코드는 백도어, 랜섬웨어, 웹셸 순으로 집계됐다.
▲맨디언트 심영섭 컨설팅 리더[사진=맨디언트]
1. 주요 공격 트렌드
① 제로데이 활용
첫째, 제로데이를 활용한 공격이 증가하고 있다. 전통적으로 엔드포인트 탐지 및 대응(EDR)과 기타 보안 솔루션이 약점을 보이는 엣지 기기와 플랫폼을 표적으로 삼는 중국 연계 공격자들이 증가하는 추세다. 특히 제로데이 익스플로잇을 활용하는 중국 연계 공격자가 빠르게 증가하고 있다.
이에 대해 맨디언트 심영섭 컨설팅 리더는 25일 ‘M-Trends 2024 스페셜 리포트 주요 사이버 보안 트렌드 및 현황 인사이트 미디어 브리핑’에서 “최초 공격은 제로데이 공격을 통해 침투한 후 운영체제 도구를 활용해 공격한다”며 “내부에서 탐지가 어렵기 때문에 공격자들이 이러한 공격 방법을 많이 활용하는 추세”라고 밝혔다.
② MFA 우회 위해 AiTM 활용하는 공격자들
둘째, 다중인증(MFA)으로 구성된 클라우드 기반 IDDP에 대한 침해 건수가 증가하고 있다. 공격자들은 특히 민감한 로그인 세션 토큰을 도용, 웹 프록시 또는 AiTM(Adversary-in-the-middle) 피싱 페이지와 같이 MFA 기능을 무력화할 수 있는 기술을 사용해 MFA를 우회한다. 그럼에도 불구하고 여전히 많은 조직이 토큰 도난 방지 기능을 제공하지 않는 보안 시스템을 사용 중이다.
심영섭 컨설팅 리더는 “키 생성을 위해 공격자는 서버를 공격해 키를 직접 생성한 후 침투한다”며 “로그인 세션 토큰을 훔쳐 MFA를 효과적으로 우회하는 웹 프록시 및 중간자 공격(Adversary-in-The-Middle , AiTM) 피싱 페이지가 증가하고 있다”고 밝혔다.
③ 피싱 공격의 진화
셋째, 피싱 공격이 진화하고 있다. 공격자들은 LNK 파일과 새로운 형태로 무기화된 Microsoft Office 문서 등 다양한 페이로드 유형을 배포하는 실험을 한다. 또한 이메일 외에도 소셜 미디어, SMS 메시지, 기타 일반적인 통신 플랫폼과 같은 플랫폼에서 활동하고 있다.
뿐만 아니라 공격자는 다른 사람의 컴퓨터에 비인가로 접속해 대화를 가로채는 등의 하이재킹(hijacking) 기법이나 내부 사용자로 가장한 기술로, 신뢰할 수 있는 관계와 커뮤니케이션을 악용하고 있다.
심영섭 컨설팅 리더는 “공격자가 하이재킹으로 내부에서 메일을 발송하는 등 신뢰할 수 있는 관계를 악용하고 있다”며 “내부 탐지가 어려운 이유는 보안 장비 자체의 취약점을 이용한 공격과 제로데이 취약점을 이용해 공격하기 때문으로, 공격자가 내부 시스템 툴을 이용해 더더욱 탐지가 어렵다”고 설명했다.
이어 그는 “공격자에 대한 파악과 주요 자산정보, 내부 시스템이 어떻게 운영되는지 잘 파악하고, 가시성을 확보하는 게 중요하다”고 당부했다.
▲2023년 가장 많은 표적이 된 산업 분야[자료=맨디언트]
2. 가장 많은 표적이 된 산업, 금융서비스 17.3%
가장 많이 표적이 된 산업은 금융서비스 17.3%, 비즈니스/전문 서비스 13.3%, 하이테크 12.4%, 소매/서비스업 8.6%, 의료 8.1%, 정부 관련 8.1%, 건설/엔지니어링 7.9%, 교통/운송 6.2%, 교육 5.3%, 엔터테인먼트/미디어 4.1%, 유틸리티 2.1%, 통신 1.7%, 에너지 1.3%, 기타 1.3%, 항공 무주 및 방위 0.9%, 농림업 0.8%, 비영리 단체 0.8% 순으로 집계됐다.
3. 공격자들의 공격 방법, 초기 감염 벡터
공격자들의 공격 방법으로는 취약점 공격 38%, 피싱 17%, 사전 보안침해 15%, 도용된 사용자 인증 정보 10%, 무차별 대입 6%, 웹 보안 침해 5%, 서버 보안 침해 3%, 써드파티 보안 침해 2%, 기타 2%, 소셜 미디어 피싱 1%, SIM 스와핑 1% 순으로 집계됐다.
지역별로는 북남미 41%, 아시아태평양 39%, 유럽·중동·아프리카 37% 순으로 파악됐다. 비중은 비슷하게 분포되어 있지만 북남미가 가장 높은 비중을 차지한 이유에 대해 심영섭 컨설팅 리더는 “북남미 지역의 경우 타 지역보다 다양한 엣지 디바이스에 대한 보안 성숙도가 높은 기업들이 분포돼 있다”며 “EDR 도입 비율이 타 지역에 비해 높은 편이고, 이메일 대책, 자체 탐지 대응능력과 솔루션 도입 비율이 높아 그런 것 같다”고 설명했다.
▲2023년 가장 기승을 부린 악성코드[자료=맨디언트]
4. 2023년 가장 기승 부린 악성코드, 백도어
2023년에 가장 자주 목격된 악성코드는 백도어(BEACON), 랜섬웨어(ALPHV), 웹셸(LEMERLOOT), 터널러(SYSTEMBC), 록빗(LOCKBIT) 랜섬웨어 등이 꼽혔다.
▲가장 빈번하게 사용된 마이터어택(MITRE ATT&CK)보조 기술[자료=맨디언트]
가장 빈번하게 사용된 마이터어택(MITRE ATT&CK) 보조 기술로는 파워쉘(PowerShell) 32.3%, 웹프로토콜(Web Protocols) 29.6%, 원격 데스크톱 프로토콜(Remote Desktop Protocol) 28.3%, 서비스 실행(Service Execution) 26.8%, 파일삭제(File Deletion) 26.6% 순으로 나타났다. 또한 시스템 자체 도구 악용(Living off the land)도 기승을 부린다는 게 심영섭 리더의 설명이다.
▲맨디언트가 분류한 전세계 공격 그룹[자료=맨디언트]
5. 전세계 공격 그룹, APT·금융목적 FIN·UNC 등 4000개 이상 그룹
이렇게 침투한 공격자는 데이터 탈취(37%)와 금전적 이익(36%)을 노린다. 그렇다면 이러한 데이터를 노린 범인은 누구일까. 맨디언트는 4,000개 이상의 공격그룹으로 분류, 새롭게 추적한 공격그룹 719개, 새롭게 추적 및 조사한 공격그룹 220개, 기존에 조사한 공격 그룹 316개로 분류했다. 그리고 공격그룹을 APT, 금융목적의 FIN, 특정 카테고리로 분류하지 않은 UNC으로 분류했다.
APT공격 그룹은 현재 활동 중인 그룹 42개, 러시아 및 이란 APT 그룹 2개, 스파이 활동 목적의 UNC 러시아, 이란, 북한, 중국 그룹이 29개로 분류했다.
FIN(금융목적) 활동 그룹은 현재 활동중인 FIN그룹 13개, 멕시코,우크라이나에서 활동 중인 FIN그룹 4개, 금전적 목적을 가진 UNC 그룹으로 러시아, 북한, 중국, 나이지리아, 미국, 말레이시아, 필리핀 164개 그룹으로 분류했다.
UNC는 2023년 발견된 그룹(189개 통합) 719개, 2023년 활동그룹인 UNC 그룹 310개, 2023년 중국, 러시아, 인도, 스위스에서 활동 중인 UNC 그룹 117개로 분류했다.
특히 2023년 새롭게 명명된 APT 그룹인 APT43은 북한 정부의 이익 지원을 위해 다양한 임무를 수행하는 해킹조직이다.
이에 대해 심영섭 리더는 “한반도를 둘러싼 지정학적 이슈에 초점을 맞춰 한국과 미국의 정부 기관, 학계, 싱크탱크를 대상으로 사회공학적 공격을 감행한다”며 “중간 수준의 정교한 기술력을 보유하고 전략정보 수집이라는 주요 임무를 지원하기 위해 사이버범죄 작전을 통해 자금을 조달한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
가장 많은 표적이 된 분야 : 금융서비스 17.3%, 비즈니스/전문 서비스 13.3%, 하이테크 12.4% 순
2023년 가장 빈번한 악성코드 : 백도어, 랜섬웨어, 웹셸, 터널러, 록빗 랜섬웨어 순
[보안뉴스 김경애 기자] 전 세계 주요 공격 트렌드로 △제로데이 활용 △MFA 우회 위한 AiTM 활용 △피싱 공격 진화 등이 제시됐다. 공격자들은 주로 데이터 탈취와 금전탈취 목적으로 공격했으며, 공격자들의 공격 방법은 취약점 공격, 피싱, 사전보안 침해 등으로 분석됐다. 또한 가장 많이 사용된 악성코드는 백도어, 랜섬웨어, 웹셸 순으로 집계됐다.
▲맨디언트 심영섭 컨설팅 리더[사진=맨디언트]
1. 주요 공격 트렌드
① 제로데이 활용
첫째, 제로데이를 활용한 공격이 증가하고 있다. 전통적으로 엔드포인트 탐지 및 대응(EDR)과 기타 보안 솔루션이 약점을 보이는 엣지 기기와 플랫폼을 표적으로 삼는 중국 연계 공격자들이 증가하는 추세다. 특히 제로데이 익스플로잇을 활용하는 중국 연계 공격자가 빠르게 증가하고 있다.
이에 대해 맨디언트 심영섭 컨설팅 리더는 25일 ‘M-Trends 2024 스페셜 리포트 주요 사이버 보안 트렌드 및 현황 인사이트 미디어 브리핑’에서 “최초 공격은 제로데이 공격을 통해 침투한 후 운영체제 도구를 활용해 공격한다”며 “내부에서 탐지가 어렵기 때문에 공격자들이 이러한 공격 방법을 많이 활용하는 추세”라고 밝혔다.
② MFA 우회 위해 AiTM 활용하는 공격자들
둘째, 다중인증(MFA)으로 구성된 클라우드 기반 IDDP에 대한 침해 건수가 증가하고 있다. 공격자들은 특히 민감한 로그인 세션 토큰을 도용, 웹 프록시 또는 AiTM(Adversary-in-the-middle) 피싱 페이지와 같이 MFA 기능을 무력화할 수 있는 기술을 사용해 MFA를 우회한다. 그럼에도 불구하고 여전히 많은 조직이 토큰 도난 방지 기능을 제공하지 않는 보안 시스템을 사용 중이다.
심영섭 컨설팅 리더는 “키 생성을 위해 공격자는 서버를 공격해 키를 직접 생성한 후 침투한다”며 “로그인 세션 토큰을 훔쳐 MFA를 효과적으로 우회하는 웹 프록시 및 중간자 공격(Adversary-in-The-Middle , AiTM) 피싱 페이지가 증가하고 있다”고 밝혔다.
③ 피싱 공격의 진화
셋째, 피싱 공격이 진화하고 있다. 공격자들은 LNK 파일과 새로운 형태로 무기화된 Microsoft Office 문서 등 다양한 페이로드 유형을 배포하는 실험을 한다. 또한 이메일 외에도 소셜 미디어, SMS 메시지, 기타 일반적인 통신 플랫폼과 같은 플랫폼에서 활동하고 있다.
뿐만 아니라 공격자는 다른 사람의 컴퓨터에 비인가로 접속해 대화를 가로채는 등의 하이재킹(hijacking) 기법이나 내부 사용자로 가장한 기술로, 신뢰할 수 있는 관계와 커뮤니케이션을 악용하고 있다.
심영섭 컨설팅 리더는 “공격자가 하이재킹으로 내부에서 메일을 발송하는 등 신뢰할 수 있는 관계를 악용하고 있다”며 “내부 탐지가 어려운 이유는 보안 장비 자체의 취약점을 이용한 공격과 제로데이 취약점을 이용해 공격하기 때문으로, 공격자가 내부 시스템 툴을 이용해 더더욱 탐지가 어렵다”고 설명했다.
이어 그는 “공격자에 대한 파악과 주요 자산정보, 내부 시스템이 어떻게 운영되는지 잘 파악하고, 가시성을 확보하는 게 중요하다”고 당부했다.
▲2023년 가장 많은 표적이 된 산업 분야[자료=맨디언트]
2. 가장 많은 표적이 된 산업, 금융서비스 17.3%
가장 많이 표적이 된 산업은 금융서비스 17.3%, 비즈니스/전문 서비스 13.3%, 하이테크 12.4%, 소매/서비스업 8.6%, 의료 8.1%, 정부 관련 8.1%, 건설/엔지니어링 7.9%, 교통/운송 6.2%, 교육 5.3%, 엔터테인먼트/미디어 4.1%, 유틸리티 2.1%, 통신 1.7%, 에너지 1.3%, 기타 1.3%, 항공 무주 및 방위 0.9%, 농림업 0.8%, 비영리 단체 0.8% 순으로 집계됐다.
3. 공격자들의 공격 방법, 초기 감염 벡터
공격자들의 공격 방법으로는 취약점 공격 38%, 피싱 17%, 사전 보안침해 15%, 도용된 사용자 인증 정보 10%, 무차별 대입 6%, 웹 보안 침해 5%, 서버 보안 침해 3%, 써드파티 보안 침해 2%, 기타 2%, 소셜 미디어 피싱 1%, SIM 스와핑 1% 순으로 집계됐다.
지역별로는 북남미 41%, 아시아태평양 39%, 유럽·중동·아프리카 37% 순으로 파악됐다. 비중은 비슷하게 분포되어 있지만 북남미가 가장 높은 비중을 차지한 이유에 대해 심영섭 컨설팅 리더는 “북남미 지역의 경우 타 지역보다 다양한 엣지 디바이스에 대한 보안 성숙도가 높은 기업들이 분포돼 있다”며 “EDR 도입 비율이 타 지역에 비해 높은 편이고, 이메일 대책, 자체 탐지 대응능력과 솔루션 도입 비율이 높아 그런 것 같다”고 설명했다.
▲2023년 가장 기승을 부린 악성코드[자료=맨디언트]
4. 2023년 가장 기승 부린 악성코드, 백도어
2023년에 가장 자주 목격된 악성코드는 백도어(BEACON), 랜섬웨어(ALPHV), 웹셸(LEMERLOOT), 터널러(SYSTEMBC), 록빗(LOCKBIT) 랜섬웨어 등이 꼽혔다.
▲가장 빈번하게 사용된 마이터어택(MITRE ATT&CK)보조 기술[자료=맨디언트]
가장 빈번하게 사용된 마이터어택(MITRE ATT&CK) 보조 기술로는 파워쉘(PowerShell) 32.3%, 웹프로토콜(Web Protocols) 29.6%, 원격 데스크톱 프로토콜(Remote Desktop Protocol) 28.3%, 서비스 실행(Service Execution) 26.8%, 파일삭제(File Deletion) 26.6% 순으로 나타났다. 또한 시스템 자체 도구 악용(Living off the land)도 기승을 부린다는 게 심영섭 리더의 설명이다.
▲맨디언트가 분류한 전세계 공격 그룹[자료=맨디언트]
5. 전세계 공격 그룹, APT·금융목적 FIN·UNC 등 4000개 이상 그룹
이렇게 침투한 공격자는 데이터 탈취(37%)와 금전적 이익(36%)을 노린다. 그렇다면 이러한 데이터를 노린 범인은 누구일까. 맨디언트는 4,000개 이상의 공격그룹으로 분류, 새롭게 추적한 공격그룹 719개, 새롭게 추적 및 조사한 공격그룹 220개, 기존에 조사한 공격 그룹 316개로 분류했다. 그리고 공격그룹을 APT, 금융목적의 FIN, 특정 카테고리로 분류하지 않은 UNC으로 분류했다.
APT공격 그룹은 현재 활동 중인 그룹 42개, 러시아 및 이란 APT 그룹 2개, 스파이 활동 목적의 UNC 러시아, 이란, 북한, 중국 그룹이 29개로 분류했다.
FIN(금융목적) 활동 그룹은 현재 활동중인 FIN그룹 13개, 멕시코,우크라이나에서 활동 중인 FIN그룹 4개, 금전적 목적을 가진 UNC 그룹으로 러시아, 북한, 중국, 나이지리아, 미국, 말레이시아, 필리핀 164개 그룹으로 분류했다.
UNC는 2023년 발견된 그룹(189개 통합) 719개, 2023년 활동그룹인 UNC 그룹 310개, 2023년 중국, 러시아, 인도, 스위스에서 활동 중인 UNC 그룹 117개로 분류했다.
특히 2023년 새롭게 명명된 APT 그룹인 APT43은 북한 정부의 이익 지원을 위해 다양한 임무를 수행하는 해킹조직이다.
이에 대해 심영섭 리더는 “한반도를 둘러싼 지정학적 이슈에 초점을 맞춰 한국과 미국의 정부 기관, 학계, 싱크탱크를 대상으로 사회공학적 공격을 감행한다”며 “중간 수준의 정교한 기술력을 보유하고 전략정보 수집이라는 주요 임무를 지원하기 위해 사이버범죄 작전을 통해 자금을 조달한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
