"APT 공격 그룹에 대한 조사"
1. APT 공격
- Advanced Persistent Threats(지능적 지속 위협)
- 지능적인 방법을 사용하여 지속적으로 특정 대상을 공격하는 것, 특정 개인 또는 조직을 타깃으로 삼고, 정보를 파악한 후 미끼를 던져 침투하는 지능적인 방식이 큰 특징이다.
- 과정: 침투 -> 검색 -> 수집 -> 유출
2. APT(지능형 지속적 위협) 공격 그룹
- 정의: 데이터를 훔치거나, 운영을 중단하거나 인프라를 파괴하려고 한다. 대부분의 사이버 범죄자와 다른 점은 몇 달 또는 몇 년에 걸쳐 목표를 달성하려고 한다.
|
그룹 이름 |
개요 |
관련 악성코드 |
공격 경로 |
|
APT 39(이란) |
통신 및 여행 산업에 집중하는 것은 특정 개인을 대상으로 모니터링, 추적 또는 감시활동을 수행하거나, 국가의 주요 과제에 관련한 전략적 요건을 뒷받침하기 위해 상업적 또는 작전상의 목적으로 데이트 수집하거나 추가적인 액세스 및 경로를 확보하려는 의도 |
SEAWEED, |
POWBAT 감염을 유발하는 악성 첨부 파일이 포함된 스피어 피싱 이메일 및 하이퍼링크를 활용 합법적인 웹 서비스와 조직을 가장한 도메인을 자주 등록 및 활용 |
|
APT34(이란) |
금융, 정부기관, 에너지, 화학 및 통신을 비롯한 다양한 산업을 대상으로 공격 |
POWBAT, POWRUNER, BONDUPDATER |
Microsoft Office 취약점인 CVE-2017-11882를 활용 ->원격코드 실행 -> 메모리 손상 취약점 (Memory Corruption Vulnerability) -> EQNEDT32.EXE가 메모리상에서 특정 오브젝트를 적절하게 처리하지 못하는 과정에서 발생 |
|
APT41(중국) |
비디오 게임 업계에서 가장 명확하게 나타나며, 가상 화폐 조작 및 랜섬웨어 배포 시도 등의 형태 |
최소 46가지 코드 및 도구를 사용 |
컴파일 된 HTML(.chm) 파일과 같은 첨부 파일이 있는 스피어 피싱 이메일을 주로 사용하여 피해자에게 초기 침투를 시도 |
|
APT18(중국) |
우주 항공 및 방위, 건설 및 엔지니어링, 교육, 의료 및 생명공학, 하이테크, 통신 및 운송 |
Gh0st RAT |
사전에 계획된 것으로 보이는 공격을 위해 빈번하게 개발되거나 조정된 제로 데이 익스플로잇이 발견 |
|
APT37(북한) |
제로 데이 취약점 및 와이퍼 악성코드 액세스를 포함한 툴을 통해 공격의 범위를 확대하고 수준을 높여가는 것으로 확인 |
스파이 목적으로 이용되는 맞춤형 악성코드 외에 파괴적인 악성코드 사용 |
전략적 웹 해킹과 토렌트 파일 공유 사이트를 이용한 무차별 악성코드 배포 한글 워드 프로세서(HWP)와 Adobe Flash의 취약점을 자주 악용 제로 데이 취약점(CVE-2018-0802)에 액세스하고 이러한 취약점을 공격에 활용 |
|
Lazarus Group(북한) |
특정 국가의 정부가 배경에 있을 것으로 추정되며 기술력과 조직력을 갖춘 것으로 평가되는 위협 그룹 중 하나이다. |
Flame, 1 Mission, Troy, DarkSeoul, Ten Days of Rain |
공격 대상 선택 기준이나 악성코드 프로파일링 등을 살펴본 결과, 여러 소그룹으로 분리되어 활동하고 있다. 중앙아메리카에 있는 온라인 카지노에 대한 공격에 디스크 삭제 도구인 KillDisk를 사용 |
3. APT 공격 그룹이 사용한 악성코드
|
악성코드 |
정의 |
주요 기능 |
|
Gh0st RAT |
중국의 C. Rufus Security Team에서 개발되었으며 오픈소스로 공개된 원격 제어 악성코드 |
서버 프로그램은 클라이언트에 설치할 악성코드를 빌드할 수 있으며 클라이언트에 대한 통제 기능을 갖고 있다. |
|
Flame |
각 국가의 원자력, 전기, 반도체, 철강, 화학 같은 주요 산업 기반 시설 제어 시스템에 침투해 오작동을 유도한 뒤 시스템을 마비 |
단순히 사용자 아이디와 비밀번호를 수집하는 선이 아닌, 감염된 사실을 들키지 않게 주변 조건을 확인한 뒤 실행한다는 점에서 매우 지능적 |
|
Troy |
악성 루틴이 숨어있는 프로그램, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행한다. |
정보유출 및 제어권 획득이 목적이므로 컴퓨터 사용자가 트로이목마의 침투 및 활동을 인식하지 못하도록 설계한다. 바이러스와 같이 복제 기능이 없으며 웜과 같이 증식 능력이 없는 악성프로그램이다. |
|
DarkSeoul |
한국의 TV 방송사와 적어도 두 곳의 주요 은행에 속한 컴퓨터 네트워크는 북한에서 시작된 악의적인 인터넷 공격 |
서버 및 클라이언트 시스템의 원격 접속 프로그램 인증 정보를 탈취하거나 백신을 종료시키고 디스크를 파괴시키는 악의적인 동작을 수행한다. |
*카스퍼스키: 보안업체
참고
https://www.fireeye.kr/current-threats/apt-groups.html
지능형 지속적 위협 그룹 | FireEye
FireEye는 국가의 지시 및 지원을 받는 APT(지능형 지속적 위협) 그룹을 특별히 주시합니다.
www.fireeye.kr
https://attack.mitre.org/groups/
Groups | MITRE ATT&CK®
attack.mitre.org
https://asec.ahnlab.com/1334 -> Gh0st RAT
http://www.bloter.net/archives/112008 -> Flame
https://nakedsecurity.sophos.com/2013/03/20/south-korea-cyber-attack/ -> DarkSeoul
'Security > Network' 카테고리의 다른 글
| [Security] EDR, EPP, SOAR 이란 무엇인가 (0) | 2020.09.11 |
|---|---|
| [Security] Defense-in-Depth: DID(심층 방어) (0) | 2020.09.11 |
| [Network] TCP 와 UDP 정의 및 차이점 (413) | 2020.09.10 |
| [Network] DMZ(Demilitarized Zone) (270) | 2020.09.10 |
| [Network] IP Fragmentation(단편화) 정의 및 관련 취약점 (0) | 2020.09.10 |