글로벌 사이버 보안 AI 기업인 다크트레이스(Darktrace)가 ‘2024년 상반기 위협 보고서’를 통해 2024년 상반기 기업들이 직면한 주요 위협과 공격 방법을 발표했다. 다크트레이스의 위협 연구팀은 자체 학습 AI를 사용하여 사이버 위협의 지속적인 특성과 기존 방어를 우회하려는 공격자들이 채택한 새로운 기술에 대해 분석했다.

서비스형 사이버 범죄, 중대한 위험 초래

보고서에 따르면, 서비스형 사이버 범죄가 계속해서 위협 환경을 지배하고 있으며, 서비스형 맬웨어(MaaS)와 서비스형 랜섬웨어(RaaS) 도구들이 공격자들이 사용하는 악성 도구의 상당 부분을 차지하고 있다. 록비트와 블랙 바스타 같은 서비스형 사이버 범죄 그룹들은 공격자들에게 미리 만들어진 맬웨어부터 피싱 이메일 템플릿에 이르기까지 모든 것을 제공하여 기술 지식이 제한된 사이버 범죄자들의 진입 장벽을 낮추고 있다.

2024년 1월부터 6월까지 다크트레이스가 관찰한 가장 흔한 위협들은 다음과 같다.

① 정보 탈취 맬웨어(초기 분류된 조사의 29%)

② 트로이 목마(조사된 위협의 15%)

③ 원격 접근 트로이 목마(RAT, 조사된 위협의 12%)

④ 봇넷(조사된 위협의 6%)

⑤ 로더(조사된 위협의 6%)

보고서는 또한 지속적인 위협과 함께 새로운 위협이 출현했다고 밝혔다. 특히 킬린(Qilin) 랜섬웨어는 보안 도구를 우회하기 위해 감염된 기기를 안전 모드로 재부팅하고 인간 보안 팀이 빠르게 대응하기 어렵게 만드는 등 정교한 전술을 사용한다.

보고서에 따르면 이중 갈취 방식이 현재 랜섬웨어 변종들 사이에서 널리 퍼져 있다. 랜섬웨어가 여전히 조직의 주요 보안 문제로 꼽히고 있는 가운데, 다크트레이스의 위협 연구팀은 고객들에게 영향을 미치는 세 가지 주요 랜섬웨어 변종인 아키라(Akira), 록비트(Lockbit), 블랙 바스타(Black Basta)를 확인했다. 이 세 가지 모두 이중 갈취 방식을 사용하는 것으로 관찰되었다.

이메일 피싱·정교한 회피 전술 증가

피싱은 조직에 중대한 위협이다. 다크트레이스는 2023년 12월 21일부터 2024년 7월 5일까지 고객군 전체에서 1780만 건의 피싱 이메일을 탐지했다. 이 이메일의 62%는 이메일 도메인의 무단 사용을 방지하기 위해 설계된 업계 프로토콜인 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 검증을 성공적으로 우회했으며, 56%가 모든 기존 보안 계층을 통과했다.

또한 사이버 범죄자들은 기존 보안 매개변수를 회피하도록 설계된 더욱 정교한 전술, 기술 및 절차(TTP)를 채택하고 있다. 다크트레이스는 공격자들이 드롭박스와 슬랙과 같은 인기 있는 합법적인 제3자 서비스와 사이트를 활용하여 정상적인 네트워크 트래픽에 섞이려는 시도가 증가하는 것을 관찰했다.

원격 모니터링 및 관리(RMM) 도구, 터널링, 프록시 서비스 등 은밀한 명령 및 제어(C2) 메커니즘의 사용도 급증했다.

에지 인프라 침해와 중요 취약점 악용

다크트레이스는 특히 이반티 커넥트 시큐어(Ivanti Connect Secure), 젯브레인스 팀시티(JetBrains TeamCity), 포티클라이언트 엔터프라이즈 매니지먼트 서버(FortiClient Enterprise Management Server), 팔로알토 네트웍스(Palo Alto Networks) PAN-OS와 관련된 에지 인프라 장치의 취약점을 대규모로 악용하는 사례가 증가하는 것을 관찰했다. 이러한 침해는 종종 추가적인 악의적 활동의 발판 역할을 한다.

조직들이 기존의 공격 동향과 CVE(공통 취약점 및 노출)를 간과하지 않는 것이 매우 중요하다. 사이버 범죄자들은 조직을 속이기 위해 이전의 주로 휴면 상태였던 방법을 사용할 수 있다. 1월부터 6월 사이 위협 연구팀이 조사한 사례 중 40%에서 공격자들이 공통 취약점 및 노출(CVE)을 악용했다.