금융보안원(원장 김영기)은 2019년 상반기에 국내 금융권 피싱 공격 배후로 ‘TA505그룹’을 인지, 그동안 약 60만건에 달하는 TA505그룹의 국내 금융권 공격 피싱 메일을 추적∙분석한 결과물을 이번에 ‘TA505 위협그룹 프로파일링’ 보고서로 발간했다.
TA505(Threat Actor 505)그룹은 2014년부터 기업 정보 탈취 및 금전적 대가를 목적으로 랜섬웨어, 원격 제어 악성코드를 이용해 주로 금융권 및 에너지 관련 업종을 공격하는 러시아 추정 공격 그룹이다.
보고서에 따르면, TA505그룹의 공격은 다음과 같은 특징을 갖고 있다.
대규모 피해가 발생할 수 있는 기업 또는 단체를 공격대상으로하고 스피어 피싱 메일을 이용해 악성코드를 유포한다.
AD(Active Directory)서버 해킹, 계정 탈취 및 파일 암호화 등을 수행할 수 있도록 공격단계별로 원격제어 악성코드, 랜섬웨어 등 다양한 악성코드 사용한다.
스피어 피싱 메일은 공격대상 기관의 근무에 맞추어 일주일 중 목요일(26.1%)과 수요일(24%)에, 통상적인 출근 시간인 평일 오전 7시부터 9시 사이에 집중적으로 발송됐다.
유명 포털 사이트인 네이버, 구글, 마이크로소프트 등을 사칭하는 피싱 페이지를 운영해 계정정보 탈취 등 추가적인 공격 시도를 감행한다.
2019년 12월부터 또다시 국내 금융권 등에 보안메일 등을 사칭한 대량의 스피어 피싱 메일을 발송, 파일을 암호화하는 새로운 랜섬웨어 유포 정황도 발견된바 있다.
이 그룹은 국내 금융권을 대상으로 아래와 같은 장기간의 사이버 공격 라이프 사이클을 가지고 공격을 수행하고 있다.
①초기 침투(Initial Compromise) : 공격자가 스피어 피싱 등의 방법으로 시스템에서 악성코드를 성공적으로 실행
②거점 확보(Establish Foothold) : 공격자는 침투한 시스템에 백도어 등 지속적으로 통신 가능한 악성코드를 설치
③권한 상승(Escalate Privileges) : 권한 상승을 통해 공격자가 시스템 주요 설정 변경 및 민감 데이터에 접근
④내부 정찰(Internal Reconnaissance) : 악성코드 확산을 위해 주변 시스템의 정보 및 대상 시스템 로그인을 위한 인증정보를 수집
⑤내부 확산(Move Laterally) : 내부망에서 사용되는 정보를 획득하고, 내부망 타 시스템으로 이동하여 감염을 확산
⑥지속 실행(Maintain Presence) : 시스템 재부팅 후에도 동작하고, 백신 등에 의해 강제로 삭제되지 않도록 은닉
⑦미션 완료(Complete Mission) : 랜섬웨어 실행, 정보 탈취 등 공격자의 목표를 달성
한편 ‘TA505그룹’의 공격 절차는 다음과 같다.
① 최초 감염(스피어 피싱 메일에 첨부된 악성 파일 실행)
② 정보 탈취 : 원격 제어 악성코드를 통한 PC정보 탈취
③ 추가 악성코드 감염 : 탈취한 정보를 기반으로 추가 악성코드 감염
④ 내부망 제어 : 추가 악성코드를 통해 내부망 탐색 및 AD서버 관리자 권한 획득
⑤ 랜섬웨어 감염 : 획득한 AD서버 관리자 권한으로 내부망 PC에 대규모 랜섬웨어 감염
최초 침투를 위한 스피어 피싱 메일에서 원격 제어 악성코드, 최종적으로 기업 내부망 감염에 사용되는 랜섬웨어까지 일련의 공격 라이프 사이클에 따라 다양한 악성코드를 이용한다.
금융보안원은 TA505 위협 그룹 프로파일링 보고서를 토대로 국내 금융권대상 피싱 공격, 랜섬웨어 등 신종 사이버 공격에 대한 대응 요령을 금융권과 지속적으로 공유할 예정이다.
금융보안원은 점차 고도화∙지능화되는 사이버 위협에 금융권이 신속하게 대응할 수 있도록 금융권에 전문적이고 특화된 최신 사이버 위협 및 공격에 대한 인텔리전스 보고서를 매년 정기적으로 발간할 계획이라고 밝혔다.
이번 보고서는 금융보안원 홈페이지 자료마당, 인텔리전스 보고서 게시판에서 다운로드 가능하다. 데일리시큐 자료실에서도 가능하다.
금융보안원 김영기 원장은 “전형적인 사이버공격 수단인 악성 메일을 이용한 피싱 공격이 점점 지능화∙고도화되어 가는 상황에서 국내 금융권 피싱 공격 배후인 TA505그룹을 추적∙분석한 결과를 금융권과 공유함으로써 금융권이 주요 정보 유출, 중요 파일 암호화 등 발생 가능한 피해에 선제적으로 대응할 수 있을 것”이라고 밝혔다.
이어 “사이버공격은 매년 다보스포럼에서 10대 글로벌 리스크에 선정되는 등 사이버 공격 대상에는 안전지대가 없는만큼, 금융보안원은 국내 금융권이 사이버 공격에 선제적으로 대응할 수 있도록 사이버 위협의 수집∙탐지, 분석 및 정보공유를 지속적으로 강화해 나갈 것”이라고 덧붙였다.
[2020 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최 안내]
-주최: 데일리시큐
-후원: 정부 유관기관
-참관객: 공공•금융•기업CISO, CSO, CPO 및 정보보안 담당자 및 보안연구가 등 300명
-일시: 2020년 2월 5일 수요일
-장소: 한국과학기술회관 지하1층 대회의실
-참관비용: 11만원(VAT 포함)
-교육이수: 7시간 정보보호 교육 이수 가능(정부/공공/일반기업 보안실무자)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★