최근 카스퍼스키의 글로벌 연구 및 분석 팀에서는 지난 12개월 동안 발생한 APT 활동에 대한 연례 검토 내용을 발표했고, 주요 내용은 아래와 같다.

  1. 민간 부문 공급업체는 위협 환경에서 중요한 역할을 해 : 가디언을 비롯한 16개의 언론 기관이 지난 7월에 발표한 조사에 따르면 전세계적으로 약 30,000명 이상의 인권운동가, 언론인 및 변호사가 페가수스를 사용한 스파이 공격의 표적이 될 수 있다고 알려졌다. 페가수스 프로젝트라는 보고서에는 페가수스가 여러 iOS 제로 클릭 및 제로데이 취약점을 사용한다고 언급되어있다. 이와 관련하여 국제 앰네스티의 보안연구소는 수많은 모바일 기기에 대한 포렌식 분석을 바탕으로 감시를 위해 페가수스가 반복적인 악의적 방식으로 사용되었다는 사실을 발견했다. 한 편 페가수스를 비록한 기타 고급 모바일 멀웨어에서 감염추적을 탐지하는 것은 iOS 및 안드로이드와 같은 최신 OS의 보안 기능으로 인해 매우 까다롭고 복잡하다. 특히 재부팅 후 거의 흔적을 남기지 않는 비지속적 멀웨어의 배포로 인해 더욱 복잡해졌다.
  2.  공급망 공격 : 지난 12개월 간 세간의 이목을 끄는 공급망 공격이 많이 발생했다. 잘 알려진 IT 관리 서비스 제공업체인 솔라윈즈가 정교한 공급망 공격의 희생자가 된 것으로 보고되었다. 또한 고객의 IT 인프라를 모니터링하고 관리하는 솔루션인 기업의 Orion IT가 손상되었다. 그 결과 북미, 유럽, 중동 및 아시아의 많은 대기업 및 정부 기관을 포함하여 18,000개 이상의 솔라윈즈 고객 네트워크에 Sunburst라는 맞춤형 백도어가 배포되었다. 그러나 모든 공급망 공격이 그렇게 정교하지는 않았는데, 올 초 BountyGlad로 추적되는 APT 조직은 몽골의 인증 기관을 손상시키고 디지털 인증서 관리 클라이언트 소프트웨어를 악성 다운로더로 바꿔치기했다.
  3. 취약점 악용 : 3월 2일, 마이크로소프트는 HAFNIUM이라는 새로운 APT 공격자를 보고했으며 Exchange Server 관련 4개의 제로데이 취약점을 악용했다. 이와 관련하여 보안업체 Volexity는 동일한 Exchange 제로데이 취약점이 2021년 초에 사용중이라고 보고했다. Volexity에 따르면 사용중인 익스플로잇 중 일부는 마이크로소프트에서 HAFNIUM으로 지정한 것 외에도 여러 행위자가 공유한다. 카스퍼스키의 분석에 따르면 마이크로소프트의 취약점 공개 및 패치 이후 이러한 취약점에 대한 악용시도가 급증한 것으로 나타났다.
  4. 펌웨어 취약점 : FinSpy는 “법적 감시” 목적으로 사용되는 악명 높은 상업용 감시 도구로 지난 9월 FinSpy의 윈도우 버전 뿐만 아니라 리눅스 및 macOS 버전에서 모두 언론인, 반체제 인사, 인권 운동가를 상대로 이 도구가 사용된 것으로 알려졌다. 이 밖에도 두개의 공격 체인을 통해 중동의 다양한 정부기관과 통신회사를 겨냥한 고급 기능을 갖춘 이전에 알려지지 않은 페이로드가 식별되었다,

 

[출처 : Securelist / 11.30.]