사이드윈더·라자루스 등 7개 그룹 활동 확인…라자루스, 한국 기업 겨냥 ‘오퍼레이션 싱크홀’ 전개
“지정학적 우위 확보 위한 전략적 행동”…보안 체계 고도화·동적 방어 도입 권고
[보안뉴스 여이레 기자] 2024년부터 2025년 상반기까지 아시아태평양 지역에서 활동하는 APT 그룹들이 여전히 사이버 첩보 활동을 주요 목적으로 삼고 있는 것으로 밝혀졌다.
글로벌 사이버 보안 기업 카스퍼스키는 28일 이 같은 분석 결과를 발표했다. 카스퍼스키 GReAT(글로벌 리서치 및 분석팀) 연구원들은 전 세계적으로 900개 이상의 APT 그룹 및 작전을 모니터링하고 있다.
[자료: gettyimagesbank]
카스퍼스키에 따르면, 사이드윈더, 스프링 드래곤(다른 이름 로터스 블라썸, 테트리스 팬텀, 허니마이트, 토디캣, 라자루스, 미스테리우스 엘리펀트 등의 첩보 그룹이 2024년부터 현재까지 아태 지역에서 활동 중이다.
누신 샤밥 카스퍼스키 GReAT 수석 보안 연구원연구원은 “금전적 이득을 노리는 일반 사이버 범죄자들과 달리, 정부·군사 기밀과 전략적 정보를 노리는 공격자들은 국가 지원을 받는 경우가 많다”며 “아시아태평양 지역의 주요 APT 활동을 살펴보면 단순한 데이터 탈취가 아닌 지정학적 우위를 점하기 위한 전략적 행동임을 알 수 있다”고 분석했다.
이어 그는 “민감한 분야에 속한 조직일수록 사이버 보안 역량을 강화하고 위협 인텔리전스에 적극적으로 투자해야 한다”고 권고했다.
‘아시아태평양 지역에서 가장 공격적인 위협’으로 평가받는 사이드윈더는 정교한 공격 플랫폼과 스피어피싱을 통해 정부, 군사, 외교 기관을 집중 타격하고 있다. 특히 방글라데시, 캄보디아, 베트남의 해양 분야와 중국, 인도, 몰디브의 물류 산업이 주요 타깃이다.
사이드윈더는 탐지를 피하기 위해 규제나 시설 운영과 관련된 것처럼 보이는 매우 정교한 스피어피싱 이메일을 사용한다. 이메일을 열면 악성코드 체인이 작동해 운영 데이터, 연구 자료, 인사 정보 등에 접근할 수 있게 된다.
스프링 드래곤은 베트남, 대만, 필리핀을 타깃으로 스피어피싱, 익스플로잇, 워터링 홀 공격을 벌이고 있다. 카스퍼스키 연구진은 동남아시아 정부 기관을 대상으로 10년간 약 1000건 이상의 스프링 드래곤이 배포한 악성 샘플을 탐지했다.
방글라데시 중앙은행 해킹 사건으로 잘 알려진 라자루스는 사이버 첩보와 금전적 동기를 모두 가진 주요 위협 행위자다. 올해 초 카스퍼스키 GReAT 전문가들은 한국 내 조직을 겨냥한 ‘오퍼레이션 싱크홀’(Operation SyncHole)이라는 라자루스의 새로운 캠페인을 포착했다.
이 작전은 워터링 홀 공격과 제3자 소프트웨어의 취약점 악용을 결합한 것으로 최소 6곳 이상의 한국 주요 기업이 타깃이었으며 실제 피해 기업 수는 더 많을 수 있다고 분석된다.
2023년 카스퍼스키가 처음 발견한 테트리스 팬텀은 특수 보안 USB 드라이브를 겨냥한 고급 악성코드를 배포했으며, 2024년부터는 BoostPlug와 DeviceCync라는 두 개의 새로운 공격 도구를 추가했다.
미얀마와 필리핀을 포함한 동남아시아의 정부 및 외교 기관에서 민감한 정치·전략 정보를 탈취하는 허니마이트는 2024년부터 2025년까지 다양한 로더를 통해 ToneShell 악성코드를 배포하고 있다.
2020년부터 말레이시아의 고위급 타깃을 주요 목표로 삼고 있는 토디캣은 공개된 코드를 기반으로 악성 도구를 개발해 정당한 보안 소프트웨어를 우회한다.
2023년 5월 카스퍼스키가 처음 발견한 미스테리우스 엘리펀트는 명령 실행 및 파일 조작이 가능한 새로운 백도어를 배포한다. 이 조직은 올해 파키스탄, 스리랑카, 방글라데시를 타깃으로 해킹 도구와 기술을 지속적으로 발전시키고 있다.
카스퍼스키 연구진은 아태 지역 APT 공격의 심각성을 경고하며 적극적인 대응책 마련을 촉구하며 보안 대책으로 △소프트웨어 최신화를 통한 침투 경로 차단 △정기적 보안 감사로 취약점 사전 발견 △실시간 보호 솔루션 도입 △위협 인텔리전스를 통한 선제적 대응 등을 제시했다.
이효은 카스퍼스키 한국지사장은 “핵심 정부 정보와 군사 기밀을 노리는 APT 공격 그룹은 국가 차원의 전략적 의도를 가지고 있다”며 “이는 핵심 정보를 장악해 지정학적 경쟁에서 주도권을 확보하려는 시도”라고 진단했다.
이어 이효은 지사장은 “한국의 주요 산업을 포함한 다양한 기관들은 사이버 보안 체계 고도화, 위협 인텔리전스 자원의 심층적 통합, 끊임없이 진화하는 공격 기법에 대응하기 위한 동적 방어 도입을 통해 보안의 최후 방어선을 지켜야 한다”고 말했다.
[여이레 기자(gore@boannews.com)]
“지정학적 우위 확보 위한 전략적 행동”…보안 체계 고도화·동적 방어 도입 권고
[보안뉴스 여이레 기자] 2024년부터 2025년 상반기까지 아시아태평양 지역에서 활동하는 APT 그룹들이 여전히 사이버 첩보 활동을 주요 목적으로 삼고 있는 것으로 밝혀졌다.
글로벌 사이버 보안 기업 카스퍼스키는 28일 이 같은 분석 결과를 발표했다. 카스퍼스키 GReAT(글로벌 리서치 및 분석팀) 연구원들은 전 세계적으로 900개 이상의 APT 그룹 및 작전을 모니터링하고 있다.
[자료: gettyimagesbank]
카스퍼스키에 따르면, 사이드윈더, 스프링 드래곤(다른 이름 로터스 블라썸, 테트리스 팬텀, 허니마이트, 토디캣, 라자루스, 미스테리우스 엘리펀트 등의 첩보 그룹이 2024년부터 현재까지 아태 지역에서 활동 중이다.
누신 샤밥 카스퍼스키 GReAT 수석 보안 연구원연구원은 “금전적 이득을 노리는 일반 사이버 범죄자들과 달리, 정부·군사 기밀과 전략적 정보를 노리는 공격자들은 국가 지원을 받는 경우가 많다”며 “아시아태평양 지역의 주요 APT 활동을 살펴보면 단순한 데이터 탈취가 아닌 지정학적 우위를 점하기 위한 전략적 행동임을 알 수 있다”고 분석했다.
이어 그는 “민감한 분야에 속한 조직일수록 사이버 보안 역량을 강화하고 위협 인텔리전스에 적극적으로 투자해야 한다”고 권고했다.
‘아시아태평양 지역에서 가장 공격적인 위협’으로 평가받는 사이드윈더는 정교한 공격 플랫폼과 스피어피싱을 통해 정부, 군사, 외교 기관을 집중 타격하고 있다. 특히 방글라데시, 캄보디아, 베트남의 해양 분야와 중국, 인도, 몰디브의 물류 산업이 주요 타깃이다.
사이드윈더는 탐지를 피하기 위해 규제나 시설 운영과 관련된 것처럼 보이는 매우 정교한 스피어피싱 이메일을 사용한다. 이메일을 열면 악성코드 체인이 작동해 운영 데이터, 연구 자료, 인사 정보 등에 접근할 수 있게 된다.
스프링 드래곤은 베트남, 대만, 필리핀을 타깃으로 스피어피싱, 익스플로잇, 워터링 홀 공격을 벌이고 있다. 카스퍼스키 연구진은 동남아시아 정부 기관을 대상으로 10년간 약 1000건 이상의 스프링 드래곤이 배포한 악성 샘플을 탐지했다.
방글라데시 중앙은행 해킹 사건으로 잘 알려진 라자루스는 사이버 첩보와 금전적 동기를 모두 가진 주요 위협 행위자다. 올해 초 카스퍼스키 GReAT 전문가들은 한국 내 조직을 겨냥한 ‘오퍼레이션 싱크홀’(Operation SyncHole)이라는 라자루스의 새로운 캠페인을 포착했다.
이 작전은 워터링 홀 공격과 제3자 소프트웨어의 취약점 악용을 결합한 것으로 최소 6곳 이상의 한국 주요 기업이 타깃이었으며 실제 피해 기업 수는 더 많을 수 있다고 분석된다.
2023년 카스퍼스키가 처음 발견한 테트리스 팬텀은 특수 보안 USB 드라이브를 겨냥한 고급 악성코드를 배포했으며, 2024년부터는 BoostPlug와 DeviceCync라는 두 개의 새로운 공격 도구를 추가했다.
미얀마와 필리핀을 포함한 동남아시아의 정부 및 외교 기관에서 민감한 정치·전략 정보를 탈취하는 허니마이트는 2024년부터 2025년까지 다양한 로더를 통해 ToneShell 악성코드를 배포하고 있다.
2020년부터 말레이시아의 고위급 타깃을 주요 목표로 삼고 있는 토디캣은 공개된 코드를 기반으로 악성 도구를 개발해 정당한 보안 소프트웨어를 우회한다.
2023년 5월 카스퍼스키가 처음 발견한 미스테리우스 엘리펀트는 명령 실행 및 파일 조작이 가능한 새로운 백도어를 배포한다. 이 조직은 올해 파키스탄, 스리랑카, 방글라데시를 타깃으로 해킹 도구와 기술을 지속적으로 발전시키고 있다.
카스퍼스키 연구진은 아태 지역 APT 공격의 심각성을 경고하며 적극적인 대응책 마련을 촉구하며 보안 대책으로 △소프트웨어 최신화를 통한 침투 경로 차단 △정기적 보안 감사로 취약점 사전 발견 △실시간 보호 솔루션 도입 △위협 인텔리전스를 통한 선제적 대응 등을 제시했다.
이효은 카스퍼스키 한국지사장은 “핵심 정부 정보와 군사 기밀을 노리는 APT 공격 그룹은 국가 차원의 전략적 의도를 가지고 있다”며 “이는 핵심 정보를 장악해 지정학적 경쟁에서 주도권을 확보하려는 시도”라고 진단했다.
이어 이효은 지사장은 “한국의 주요 산업을 포함한 다양한 기관들은 사이버 보안 체계 고도화, 위협 인텔리전스 자원의 심층적 통합, 끊임없이 진화하는 공격 기법에 대응하기 위한 동적 방어 도입을 통해 보안의 최후 방어선을 지켜야 한다”고 말했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
