NSHC RedAlert팀 “국내도 G_1217 스팸메일 수신한 사례 다수 발생해 주의”
NSHC(대표 허영일)는 2일 2014년 3분기부터 전 세계를 대상으로 인터넷 뱅킹 사용자 정보탈취를 하고 있는 그룹에 대한 프로파일링 보고서를 발표했다.최근 G_1217 그룹이 인터넷뱅킹 사용자 정보탈취뿐만 아니라 APT를 통한 2차적인 공격을 준비하고 있는 정황이 파악됐다.
NSHC RedAlert팀은 “G_1217은 Dridex로 알려진 악성코드를 이용해 전 세계 인터넷뱅킹 사용자 정보를 탈취하는 그룹이다. 기본적인 공격목표가 불특정 다수를 대상으로 하고 있으므로 누구나 G_1217이 발송한 메일이나 악성 URL을 통한 위험에 노출 될 수 있다”며 “국내에서도 G_1217의 스팸메일을 수신한 사례가 다수 발생했으며, 개인뿐만 아니라 조직에도 발송되었다. 각별한 주의가 요구된다”고 당부했다.
?보고서 내용중.
이번 보고서에서는 공격 기법 관련 구조 분석 방법론인 TTP(Tactics, Techniques, and Procedures)를 활용해 사이버 위협 정보의 개념을 표준화하고 구조화해 보안담당자가 보안성 강화 및 보안 대책을 위해서 활용할 수 있는 정보를 제공하며, RA observations & prediction을 통해 RedAlert(RA)팀에서 지속적으로 관찰한 결과를 바탕으로 앞으로의 공격 패턴과 추가로 발생할 수 있는 위협에 대한 설명을 제공한다.
또한, IoC(Indicator of Compromise)를 이용해 보안 인프라에 적용할 수 있도록 G_1217의지표를 제공한다.
NSHC 측은 “이번 보고서는 RedAlert팀 위협 정보 탐지 시스템과 허니팟(Honey Pot)등을 통해 수집된 다양한 증거를 바탕으로 작성됐다. 또한, 세계 각 국의 신뢰할 수 있는 보안 회사 및 공공기관을 통해 획득한 정보를 활용해 해당 증거에 대한 공격 행위 및 위협, 대응 방안 등을 포함하고 있다”고 설명했다.
G_1217 그룹에 대한 프로파일링 보고서는 RedAlert팀 페이스북 페이지와 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지