여러분님을 위한 뉴스레터, 에쓱-케어입니다!

매달 새로운 IT보안 소식을 여러분님께 배달해드립니다 :)

피드백하기   |   구독하기 

|✨후기 이벤트| 센티넬원, 니가 참 궁금해👀

여름을 맞이하여 센티넬원이 쏩니다!

배너 링크를 클릭하신 후, 센티넬원 후기를 등록해주세요 😊
여러분님께 시~원한 베스킨라빈스를 쏩니다!!

센티넬원을 모르시더라도, 제품설명을 요청하시면 기념품을 드리오니
여러분의 많은 관심과 참여 부탁드립니다~ (❁´◡`❁) (아래 배너링크 후 이동👇)

2023년 상반기 주요 보안위협 동향 및 하반기 주목해야 할 것은?

안녕하세요, 에스케어 Lee입니다 😁

2023년도 어느덧 상반기를 지나 하반기에 접어들었네요.
에스케어 구독자 여러분들은 올해 계획했던 일들을 잘 실행하고 계신가요?

오늘의 뉴스레터는 2023년 상반기에 있었던 주요 보안위협들을 살펴보고,

하반기에 주목해야 할 보안 위협은 어떤 게 있는지 알아보겠습니다.

※ 본 내용은 보안뉴스 XDR 기획특집에서 에스케어 윤우희 부대표의 인터뷰 내용을 일부 발췌하였습니다.

2023년 상반기 주요 사이버보안 위협😈

지난해 12월 말, 과학기술정보통신부에서 내놓은 <’22년 사이버 보안 위협 분석 및 ‘23년 전망 발표> 보고서에 따르면, 2023년 사이버 보안 위협 전망 중 하나로 지능형 지속 공격 (APT)을 꼽았었습니다.

그리고 실제로 APT공격은 2023년 상반기 주요 위협으로 떠올랐습니다. 특히 해킹그룹들은 권한 있는 계정을 탈취하여, APT 공격을 수행할 뿐 아니라 랜섬웨어 배포 또는 사이버 스파이 작전을 수행하고 있습니다.

특히 TeaBot, Stealware, InfoStealer 등 정보수집용 악성코드를 통한 계정 탈취가 늘어나고 있고, 이렇게 수집된 계정은 외부원격 서비스(External Remote Service, ID : T1133) 공격에 활용되고 있습니다.

다음 7개 그룹은 올해 상반기를 휩쓸었던 주요 해커그룹으로, 계정 탈취 후 랜섬웨어 공격을 수행에 가담하고 있는 것으로 확인되었습니다.

Muddled Libra / SiegedSec / 8Base Ransomware Group /

Andariel / CL0P Ransomware Group / UNC788 / Lazarus Group

그들이 지닌 특징과 각 그룹이 수행한 공격 형태는 다음과 같습니다.

Muddled Libra

• Muddled Libra는 사회공학 기술을 사용하여, 내부 시스템을 침입하기 위한 계정 권한을 취득합니다. 이들은 스미싱, 피싱, 사회공학 기법을 주로 사용하며, 사용자를 속여 자격증명을 취득합니다.

SiegedSec

• 해당 공격그룹은 정부서버와 소프트웨어 벤더를 표적으로 공격을 수행하는 핵티비스트 그룹입니다. 2022년 미국정부와 불특정 정부 서버를 해킹하여 공무원 PII 정보를 포함한 7~8TB의 데이터를 유출하였습니다.
• 이들은 Anonymous 그룹과 관련이 있어 보이며, 최근 호주에 본사를 둔 Atlassian을 해킹했다고 공표했습니다.

8Base Ransomware Group

• 본 해킹 그룹은 전 세계 다양한 기업을 대상으로 이중 갈취 캠페인을 벌이고 있습니다. 2022년 3월 최초 등장했지만, 2023년 6월 공격이 활발하게 증가하였습니다. 주요 공격방법은 SmokeLoader와 Phobos와 같은 변종 악성코드 및 8base ransomware를 사용합니다. 해당 공격그룹은 RansomHose와의 관계성이 있어 보이며, 협상과정에서 랜섬웨어를 통해 유출한 데이터를 공개하겠다는 적극적인 위협 방법을 사용하고 있습니다.

CL0P Ransomware Group

• 해당 공격그룹은 Cl0P 랜섬웨어를 배포한 공격그룹으로 알려졌으며, 보험, 금융, 의료, 제조, 소프트웨어 등 다양한 산업 분야의 기업을 목표로 하였습니다. 이들 역시, 피해자가 협상에 응하지 않은 경우, 유출된 데이터를 공개하겠다는 적극적 위협 방법을 사용하고 있습니다.

UNC788

• 해당 공격그룹은 Charming Kitten, APT42, PHOSPHORUS 및 TA453으로 알려져 있습니다. 이들은 이슬람 혁명 수비대와 관련된 국가후원공격 조직입니다. 이들은 2014년부터 활동해왔으며, 다양한 사이버 스파이 활동에 중점을 두고 있습니다.
• 이들의 일반적인 전술은 스피어 피싱 캠페인, 자격증명 수집, BellaCiao 및 HYPERSCRAPE와 같은 맞춤형 악성코드를 사용하는 것으로 알려져 있습니다.

Lazarus Group

• 해당 공격그룹은 북한의 해외 정보 및 정찰 총국 과 관련된 APT그룹입니다.
• 이 그룹은 사이버 스파이 활동, 금전적 동기가 있는 공격, 랜섬웨어 배포와 같은 사이버 범죄 활동에 관여하고 있으며, 특히 정부 기관, 금융 기관, 암호화폐 거래소, 게임 회사를 포함한 광범위한 조직, 개인 대상으로 공격을 수행합니다.
• Log4Shell, Windows IIS 서버, VMware Horizon 서버를 포함한 다양한 소프트웨어의 취약점을 악용합니다. Lazarus Group 과 관련된 최근의 주목할만한 사건에는 Atomic Wallet 해킹에 연루되어 3,500만 달러 이상의 암호 화폐를 훔치고 Log4j 취약점을 악용하는 공격에 얼리랫(EarlyRat) 맬웨어를 사용하는 것이 보고되었습니다.

Andariel

• 해당 위협행위자는 Lazarus Group의 하위 그룹입니다. 이들은 대한민국을 주요 공격목표로 두고 있으며, 국방, 인터넷, 스타트업, 금융기관을 포함한 다양한 기업을 목표로 삼고 있습니다. 이들은 DTrack, EarlyRat, Maui랜섬웨어 등 다양한 악성코드를 사용하고 있으며 ATP38, Bluenoroff 와도 관계성을 가지고 있습니다.
• 최근 행위는 Log4J 취약점을 이용한 EarlyRat이라는 멀웨어가 보고되었습니다.

이와 같이 여전히 APT 공격을 통한 랜섬웨어 이슈가 끊이지 않는 상황에서,

우리는 하반기를 어떻게 대응해야 할까요?

올해 하반기 우리가 주목해야 할 보안 위협은?✨

앞서 언급했던 상반기에 주요 위협들을 살펴보면 계정탈취에 따른 랜섬웨어 공격이 주를 이룹니다.

카스퍼스키(Kaspersky) 보고서에 따르면 라자루스(Lazarus) 그룹의 하위 그룹인 안다리엘(Andariel)이 사용하는 얼리랫(EarlyRat)과 뱅킹 트로이잔(Banking Trojan)을 제외하고 Top10 공격기법은 모두 APT 공격 및 랜섬웨어와 관련이 있는 것으로 전했습니다.

이에 사내 시스템에 대한 계정 보호 및 인증강화가 필요할 것으로 윤 부대표는 전망하고 있습니다. 이유는 대부분의 시스템이 허가 권한을 가진 계정이며, 해커그룹은 이를 이용하여 내부 시스템을 장악 하려하기 때문입니다.

ChatGPT를 악용한 위협 또한 보안업계 사이에서 큰 화두로 떠오르고 있습니다.

최근 이슈가 된 블랙맘바(BlackMamba)가 그것입니다. 해당 공격은 ChatGPT를 활용한 다형성을 가져 파일리스(Fileless) 공격이 가능합니다.

블랙맘바(BlackMamba)와 같은 공격형태는 보안 관리자가 탐지하기 어렵습니다. 이유는 무해한 원격 소스가 페이로드가 되고 조각화된 코드를 조합하여 악성코드로 결합되기 때문입니다. 이는 기존 안티바이러스는 탐지가 불가합니다.

이에 대해 센티넬원은 어떤 대응 방안을 가지고 있을까요? 아래 자료를 신청하여 받아 보시기 바랍니다 

📌챗GPT를 만든 오픈AI에도 구린 구석이 있었다 더보기

최근 챗GPT개발사인 오픈AI(OpenAI)가 해커들이 정당하지 않은 방법으로 훔친 데이터를 비밀리에 사용했다는 점과 저작권이 있는 책에서 콘텐츠를 훔쳤다는 점을 통해 법정에 섰다고 보도되었습니다. 이에 새롭게 떠오르는 기술이라 하더라도 규제가 필요하다는 목소리가 나오고 있습니다. 하지만 이에 대해 한 IT분석업체의 회장은 “그 많은 데이터를 정당한 방법만으로 구하진 않았을 거다”라며 “챗GPT의 시장수요가 커지는 상황에서 발전을 중단시키는 것 매우 어려울 것”이라고 덧붙였다. 기타 상세한 내용은 ‘더보기’를 통해 확인 바랍니다.

📌새로운 멀웨어 메두자 출현, 지갑과 비밀번호, 브라우저 정보 노린다 더보기

외신 핵리드에 따르면 메두자(Meduza)라 불리는 새로운 멀웨어가 출현했다고 합니다. 현재 다크웹에서 구독 형태로 판매되고 있으며, 정보탈취가 주인 멀웨어입니다. 현재까지는 윈도우 기반 시스템에서만 구동되며, 브라우저를 타고 여러 민감정보를 훔쳐내는 기능만을 수행하나, 계속적인 업그레이드를 하고 있어 추후에는 기타 다른 플랫폼들을 노리는 것도 가능할 것으로 외신은 바라보고 있습니다.

📌”매년 20%성장의 이면” 해커 먹잇감 된 ’리눅스’ 더보기

포춘 비즈니스 인사이트에 따르면 리눅스 운영체제 시장규모가 매년 20%씩 성장해 2029년에는 221억 달러에 이를 전망으로 보고 있습니다. 이에 따라 해커들은 더 높은 수익을 위해 오픈소스 시스템을 타깃으로 삼고 있습니다. 이에 대해 팔로알토 네트웍스의 수석 엔지니어 로이스 루는 “리눅스가 중요한 인프라, 서버, 클라우드 환경을 지원하기 때문에 민감한 데이터를 손상시키거나, 서비스를 방해하거나, 광범위한 공격을 가하려는 공격자에게 매력적인 표적이 되고 있다”라고 말했습니다.