메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

기술력을 갖춘 한국어를 사용하는 해킹 조직 ScarCruft의 활동을 모니터링하던 카스퍼스키랩 연구진은 이들이 새로운 도구와 기법을 테스트 및 제작 중이며 수집하는 정보의 범위와 분량이 확대되고 있다는 사실을 발견했다. 특히 연결된 블루투스 기기를 인식하는 악성 코드를 만들어낸 것이 눈에 띈다.

ScarCruft APT(지능형 지속 공격)는 국가 차원의 지원을 받고 있으며 일반적으로 한국과 관련된 정부 기관 및 기업을 공격 대상으로 삼아 정치적 이해관계 정보를 찾는 것으로 보인다. 카스퍼스키랩의 최근 관측에 따르면 이들은 진화를 거듭하여 새로운 익스플로잇을 테스트하고 있으며 모바일 기기의 데이터에 대한 관심이 늘어 사이버 사보타주 활동에 합법적 도구 및 서비스를 적용하는 등, 교묘한 수법을 드러내고 있다.

ScarCruft의 공격 양상은 다른 여러 APT와 마찬가지로 스피어 피싱 또는 전략적 웹사이트 감염 공격부터 시작된다. 이를 ‘워터링 홀’ 공격이라고도 하는데 특정 방문자만 감염시키기 위해 취약점을 비롯한 여러 가지 기법을 사용한다.

ScarCruft의 경우 그 다음으로 Windows UAC(사용자 계정 제어) 기능을 피해갈 수 있는 1단계 감염이 따르며 이를 통해 조직 내에서 정상적으로 배포한 합법적 침투 테스트용 코드를 사용하여 더 높은 권한으로 다음 페이로드를 실행할 수 있다. ScarCruft 악성 코드는 네트워크 수준의 탐지를 피하기 위해 이미지 파일에 악성 코드를 숨기는 스테가노그래피 기법을 사용한다. 마지막 단계에는 ROKRAT라는 클라우드 서비스 기반 백도어가 설치된다. 이 백도어는 공격 대상 시스템 및 기기에서 광범위한 정보를 수집하여 4개의 클라우드 서비스(Box, Dropbox, pCloud, Yandex.Disk)로 전송한다.

카스퍼스키랩 연구진은 이들의 관심이 모바일 기기 데이터를 탈취하는 데 있으며 악성 코드를 통해 Windows Bluetooth API를 사용하여 블루투스 기기 정보를 탐색할 수 있다는 사실을 밝혀냈다.

원격 분석 데이터를 살펴보면 이러한 공격 활동의 피해자로는 북한과 관련되어 있을 가능성이 있는 베트남 및 러시아의 투자회사와 무역회사를 비롯하여 홍콩 및 북한의 외교 기관 등이 있다. 또한 ScarCruft 감염으로 피해를 입은 러시아 기관 한 곳은 이전에 한국어 기반 해킹 조직인 DarkHotel의 공격을 받은 전력이 드러났다.



이에 카스퍼스키랩코리아의 박성수 책임 연구원(www.kaspersky.co.kr)은 다음과 같이 말한다. “ScarCruft와 DarkHotel이 동시에 눈에 띄는 경우는 이번이 처음이 아닙니다. 이들은 공격 대상이 비슷하지만 사용하는 도구와 기법, 프로세스는 매우 다릅니다. 이를 통해 우리는 한 조직이 규칙적으로 다른 조직 뒤에 숨어 활동한다는 결론을 내렸습니다. ScarCruft는 조심스럽게 활동하며 눈에 띄지 않게 잠복하는 편이지만 도구 개발 및 배포 과정에서 상당히 교묘한 수법을 동원하는 활동적인 조직인 것을 알 수 있습니다. 카스퍼스키랩에서는 ScarCruft의 공격 수법이 지속적으로 발전할 것으로 전망합니다.”

하지만 이러한 악성 코드도 카스퍼스키랩 제품으로 탐지하여 차단할 수 있다.

표적형 공격의 피해자가 되는 일을 예방하기 위해 카스퍼스키랩에서는 다음과 같은 조치를 취할 것을 권고하고 있다.

• SOC 팀에 최신 위협 인텔리전스에 대한 접근 권한을 제공하여 범죄자들이 사용하는 신종 악성 도구, 기법, 전술을 지속적으로 업데이트할 수 있도록 지원한다.
• 엔드포인트 수준의 탐지, 조사 및 시의 적절한 치료를 위해 Kaspersky Endpoint Detection and Response와 같은 EDR 솔루션을 구축한다.
• 필수적인 엔드포인트 보호를 적용하는 것 외에도 네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 Kaspersky Anti Targeted Attack Platform과 같은 비즈니스용 보안 솔루션을 구축한다.
• 대다수의 표적형 공격이 피싱 또는 사회공학적 기법을 사용하여 시작되므로 Kaspersky Automated Security Awareness Platform 등을 통해 보안 인식 교육을 실시하고 실용적인 공격 방지법을 알려준다.

ScarCruft의 최근 활동에 대한 자세한 내용은 Securelist에서 확인할 수 있다.

카스퍼스키랩 소개
1997년 설립된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.

자세한 내용은 www.kaspersky.com을 참조하십시오.
번호 제목 날짜
14 1분기 APT 동향 보고서: 정치 외교적 요인과 동남아를 겨냥한 공격 강세

2019.05.09 0

2019.05.09
13 카스퍼스키랩: 어벤져스 팬을 노리는 피싱 범죄에 대한

2019.05.09 0

2019.05.09
12 온라인 무료 세미나 개최 안내: 어둠 속에서 APT 공격 흔적 찾기

2019.05.09 0

2019.05.09
» 연결된 블루투스 기기를 인식하는 악성 코드를 제작한 한국어를 사용하는 해킹 조직 ScarCruft

관리자 2019.06.03 15

2019.06.03
10 구직자를 울리는 교묘한 금전갈취 스팸 사기

2019.06.03 0

2019.06.03
9 Kaspersky Industrial CyberSecurity를 통해 ROI를 368% 달성한 기업

2019.06.03 0

2019.06.03
8 2019년 1분기, 모바일 뱅킹 악성코드 58% 증가

2019.06.03 0

2019.06.03
7 허위 항공권 및 숙소 제안으로 여행자들을 현혹하는 피싱 및 스팸 사기

2019.06.04 0

2019.06.04
6 러시아어를 사용하는 제브로시(Zebrocy) APT 그룹의 최근 행적 - 전 세계적으로 APT 공격을 진행하고 있는 것으로 확인

2019.06.04 0

2019.06.04
5 새로운 기법과 함께 더욱 강력해진 모습으로 돌아온 ‘플래티넘’ 사이버 스파이 조직

2019.07.08 0

2019.07.08
4 위협 인텔리전스 분석을 간소화하여 더욱 효과적인 초기 대응을 지원하는 무료 도구 Kaspersky CyberTrace 출시

2019.07.08 0

2019.07.08
3 마인크래프트등을 가장하여 악성코드 유포하는 허위 비디오 게임에 당하는 피해자 연 90만여 명 이상

2019.07.08 0

2019.07.08
2 구글 캘린더를 악용하는 스마트폰 신종 피싱

2019.07.08 0

2019.07.08
1 '어둠 속에서 APT 공격 흔적 찾기' Webinar 다시 보기

2019.07.08 0

2019.07.08