최근 북한 정부 후원 사이버 공격그룹 APT43이 다단계 공격 체인을 활용해 시그니처 기반 안티 바이러스 탐지 기술 회피에 집중하고 있다고 지니언스 시큐리티 센터(이하 GSC)가 경고했다.

특히, 합법적으로 널리 쓰이는 드롭박스(DropBox) 클라우드 저장소를 마치 공격 거점으로 활용해 위협 모니터링 범위에서 탈피하기 위한 전술 노력도 시도 중이라고 전했다.

2024년 1분기를 기준으로 한국내 APT 공격 활성도는 높음 수준을 유지하며, 스피어 피싱의 경우 '바로가기(LNK)' 타입의 공격이 지속돼 각별한 주의가 요구된다.

측은, 먼저 지난해 말 마치 한국내 통일분야 정책 간담회 및 강연, 사례비 지급서식 문서처럼 위장된 HTML 유형의 공격이 다수 포착됐으며, 이는 전형적 스피어 피싱 기반의 APT 공격으로 실제 정부기관이 사용중인 보안메일 내역처럼 위장된 것이 특징이라고 설명했다.

참고로 APT43은 맨디언트에서 명명한 이름이고, 같은 조직을 마이크로소프트는 Emerald Sleet, 카스퍼스키는 Kimsuky(김수키), 크라우드스트라이크는 Velvet Chollima 등 다르게 명명하고 있다.

GSC 측은, 이번 공격 시나리오에 대해 “마치 주중 한국대사관에서 발송된 메일처럼 위장했다. 실제 이 내용은 한국의 안보분야 특정 전문가에게 수신됐고, 공격은 주중대사관 정책간담회 비공개 회의 참석요청 건처럼 현혹해 접근을 시작했다”며 “공격 초기에 정책간담회 및 회의 참석 안내를 소개하고, 나름대로 신뢰도를 높여간다. 그렇게 수차례 메일을 주고받다가 간담회 계획안 문서를 전달한다. 이때, 중국 인터넷 감시 시스템(GFW)에 의해 메일 발송이 안되어 구글 드라이브 링크로 보낸다고 설명한다”고 밝혔다. 공격의 보다 상세한 내용은 GSC 사이트를 참고하면 된다. (참고: https://www.genians.co.kr/blog/threat_intelligence/dropbox)

, 2024년 1분기까지 바로가기(LNK) 유형의 APT 공격은 계속 이어지고 있다. 한국을 공격 대상으로 활동하는 주요 위협 행위자들은 초기 침투 단계시 단말에 설치된 안티 바이러스 탐지 회피 효과를 극대화하기 위해 이 방식을 전략적으로 사용 중이다.

, 합법적으로 서비스 중인 글로벌 클라우드 저장소를 일종의 위협거점 인프라로 지속 활용 중이다. 그러므로 개인 이용자를 포함해 기업 및 기관의 보안관리자는 주요 클라우드 저장소의 통신 이력도 세심히 살펴볼 필요가 있다.

파워쉘 스크립트와 클라우드 서비스가 제공하는 정상 API 기능을 활용해 파일리스 기반 공격을 수행하기 때문이다. 특히, 암호화된 코드와 통신으로 인해 이상행위 탐지와 식별이 쉽지 않다.

구글드라이브, 드롭박스, 원드라이브 등은 APT 공격에 악용된 서비스 계정을 발견시 신속하게 차단하고, 가입자에 대한 후속 조치를 통해 유사 위협 피해 최소화에 많은 노력을 기울이고 있다. 이러한 공익 활동은 더 많은 보안 전문가들의 지원과 협력이 중요하다.

GSC는 “한국에서 발생한 실제 위협 케이스를 수집 관찰하고, 여러 채널과 센서를 통해 확보된 침해지표의 상관관계를 다각적으로 조사했다. 이렇게 분석된 기초 자료는 Genian EDR 솔루션을 통해 가상의 모의 공격 과정과 위협 대응 검증을 진행했다”며 “지니언스가 자체 보유하고 있는 다양한 탐지 기술(XBA)을 통해 최신 위협을 종합적으로 분석하고 대응하고 있다”고 전했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★