카스퍼스키(社) GReAT(Global Research and Analysis Team)는 4년 전부터 APT 활동에 대한 분기별 요약 보고서를 발표해왔는데, 최근 2021년 2분기 동안 APT 공격 활동을 관찰한 보고를 발표함. 주목할 만한 내용, 러시아/중국/중동/동남아시아/한반도 별로 주제를 나누어 분석 공개.

  • 주목할 만한 발견 : 최근 Microsoft Exchange 취약점 관련 3월 중순부터 활성화된 ExCone이라는 공격 캠페인에서 이전에 알려지지 않았던 백도어인 :FourteenHi”를 배포하는 공격 집단 발견. 조사 간 파이어아이(社)가 UNC2543 활동과 관련된 것으로 보고한 인프라로 구성된 FourteenHi의 여러 도구 및 변종을 발견.
  • FourteenHi는 인기 있는 VLC 미디어 플레이어를 활용하여 로더 실행, 기본적인 백도어 기능 수행. 공격자가 공격 후 상황 인식을 위해 Cobalt Strike Beacon을 작동하기 위해 인프라를 사용.
  • 러시아어 기반 APT 공격 : 지난 5월 27일~28일, 유럽 및 북미 전역의 외교 기관에 대해 진행 중인 이메일 캠페인에 대한 세부정보가 Volexity, Microsoft에 의해 발표. 발표에 따르면 러시아 공격 조직으로 밝혀진 Nobelium(APT29, Cozybear)의 공격 활동과 유사하고 Kazuar 백도어를 사용한 것으로 알려졌지만 구체적으로 어떤 위협 행위자의 행동인지 결정적인 평가를 내릴 수 없음. 따라서 카스퍼스키는 새로운 위협행위자로 지정하고 이를 “HotCousin”이라고 명명함.
  • 중국어 기반 APT 공격 : 최근 Exchange 서버 대상 증가하는 공격을 조사하는 동안 손상된 네트워크에서 반복적으로 발견되는 뚜렷한 활동을 발견. 이는 특히 이전에 알려지지 않은 루트킷과 공격받은 서버에 대한 원격 제어를 제공하기 위한 정교한 프레임워크를 사용했기 때문에 공격이 더욱 두드러졌음. 공격은 주로 동남아시아를 대상으로 이루어졌으며 동남아시아 여러 정부 기관 및 통신 회사를 포함함. 이 공격의 배후로 기존에 알려진 위협 행위자와 큰 관련이 없는 것으로 보이기 때문에 카스퍼스키는 이 조직을 “GhostEmperor”로 명명하기로 함.
  • 중동 : BlackShadow는 이스라엘 보험 회사인 Shirbit의 민감한 정보를 탈취하고 몸값을 요구하는 것으로 알려지게된 위협 조직. 이후 이들은 이스라엘의 다른 기업 망을 침입하고 Telegram에 고객 관련 정보가 포함된 문서를 게시하여 더 많이 알려지게 됨. 카스퍼스키는 최근 .NET 백도어 샘플을 발견했으며 이 중 하나를 사우디 아라비아에서 발견함. 이러한 샘플에서 관찰한 새로운 공격 인프라르 중심으로 BlackShadow와 관련 있는 특정 C2 서버를 찾을 수 있었음.
  • 한반도 : ScarCruft 그룹은 일반적으로 북한 문제와 관련된 정부 기관, 외교관 및 개인을 공격하는 지정학적 동기를 가진 APT 조직. 이 조직은 1년 간 큰 활동이 없었다가 지난 1월부터 3월까지 북한 관련 뉴스 미디어 웹사이트에 대한 공격을 진행한 것으로 알려짐. 이들은 취약점 CVE-2020-1380 및 CVE-2020-0986을 사용. 뿐만 아니라 이들은 워터링 홀 공격등을 실시하고 한국과 싱가포르를 표적으로 함
  • BlueNoroff는 수년 간 금융 산업을 목표로 삼아온 재정정 동기를 가진 APT 조직으로 최근 암호화폐 대상 공격을 실시. 2020년 BlueNoroff의 “SnatchCrypto” 캠페인에 대한 연구 결과가 발표된 이후에도 악성코드를 제공하기 위한 조직의 전략이 진화. 원격 템플릿 주입 취약점인 CVE-2017-0199를 악용하는 워드 파일을 사용함
  • Andariel 활동도 발견. Andariel은 한국에 위치한 광범위한 산업 분야를 대상으로 맞춤형 랜섬웨어를 사용함. 지난 4월 바이러스 토털에는 한글로 된 문서가 올라왔고 카스퍼스키는 이를 안다리엘의 공격으로 보았으나 보안업체 Malwarebytes는 동일한 공격을 라자루스 그룹에 기인한다고 발표.
  • LuminouseMoth로 명명한 위협 행위자, 동남아시아에서 대규모로 활동적인 공격 펼침. 추가 분석에 따르면 이 활동은 2020년 10월로 거슬러 올라가며 지난 6월 관련 보고서를 공개할 당시에도 공격은 여전히 진행중이었음. 이들은 usb 드라이브를 감염시켜 다른 호스트로 공격을 확산하는 능력을 보유. 악성 dll 파일외에도 크롬 브라우저에서 쿠키를 훔쳐 피해자의 Gmail에 액세스하는 도구를 활용하기도 함.

[출처 : Securelist / 7.29.]