국가사이버안보센터가 해외 보안 동향을 발표했다.

APT 관련 동향

이란 해킹그룹 APT33이 새로운 악성 SW ‘티클러(Tickler)’를 사용해 미국과 아랍에미리트의 정부, 국방, 위성, 석유 및 가스 부문 조직의 네트워크를 공격했다. 이 그룹은 2024년 4월부터 7월까지 정보 수집을 목적으로 이 SW를 활용했으며, 마이크로소프트 애저 인프라를 이용해 명령 및 제어(C2) 서버를 운영했다.

한편, APT32 해킹그룹이 베트남 인권 단체 대상으로 최소 4년간 지속적 사이버 공격을 감행했다. 해당 공격은 악성 SW를 감염된 시스템에 설치하는 것을 목표로 피싱 이메일 등을 통해 악성코드를 유포하고, 감염된 시스템에서 민감한 정보를 절취했다.

특히 구글 크롬 브라우저 쿠키를 훔쳐 사용자의 계정 정보를 탈취하는 등 다양한 공격기법 사용했다. 한편, APT32는 주로 동아시아 국가들의 기업 및 정부 네트워크를 사이버 스파이와 지적 재산 절도를 목적으로 활동하고 있다.

러시아의 APT29(Cozy Bear, Midnight Blizzard) 해킹 그룹이 상업적 스파이웨어 벤더들이 사용한 기술을 모방해, 몽골 정부 웹사이트를 감염시키는 워터링 홀 공격을 수행했다. 이들은 iOS와 안드로이드의 취약점을 악용해 방문자들의 기기를 감염시키려 했으며, 사용된 익스플로잇은 이전에 상업적 스파이웨어 벤더인 Intellexa와 NSO Group이 사용했던 것과 동일했다.

랜섬웨어 관련 동향

FBI에 따르면, 2024년 2월 이후 ‘랜섬허브(RansomHub)’ 랜섬웨어가 미국의 다양한 주요 인프라 부문에서 210건 이상의 피해를 발생시켰다. 이 랜섬웨어는 데이터를 탈취해 금전을 요구하며, 협상이 실패하면 도난 정보를 판매한다.

주요 피해자로는 파텔코(Patelco), 라이트 에이드(Rite Aid), Christie's, 프론티어 커뮤니케이션즈(Frontier Communications) 등이 있으며, FBI와 연방 기관들은 취약점 패치와 MFA 적용 등을 권고하며 지불을 하지 말 것을 강조했다.

한편, 플레이(Play) 랜섬웨어 그룹이 미국 반도체 공급업체 마이크로칩으로부터 훔쳤다고 주장하는 데이터를 공개했다. 이 사이버 공격으로 인해 마이크로칩의 일부 제조 시설 운영이 중단됐다.

해커들은 5GB 이상의 개인 정보, 고객 관련 문서, 회계 및 계약 자료 등을 유출했으며, 마이크로칩이 금액을 지불하지 않으면 추가 데이터를 공개할 것이라고 위협했다.

신규 랜섬웨어 서비스(RaaS)가 'Cicada 3301'이라는 이름과 로고를 사용해 전 세계 기업 공격중이다. 이 랜섬웨어는 윈도우와 리눅스/VM웨어 ESXi 서버를 대상으로, 기업 네트워크를 침투해 데이터를 암호화하고, 이를 유출하겠다고 협박해 몸값을 요구하는 이중 갈취 전략을 사용한다.

전문가들은 특히 Cicada3301은 'ALPHV/BlackCat' 랜섬웨어와 유사한 점이 많아, 동일한 팀이나 그들과 연관된 이들이 만든 것으로 추정중이다.

취약점 관련 동향

코로나 미라이(Corona Mirai) 기반의 악성코드 봇넷이 5년 된 원격 코드 실행(RCE) 제로데이 취약점을 악용해 지원이 중단된 AVTECH IP 카메라를 감염시키고 있다. 이 취약점(CVE-2024-7029)은 카메라의 "밝기" 기능에 존재하며, 공격자가 네트워크를 통해 명령 주입이 가능하다. AVTECH AVM1203 모델은 2019년에 지원이 종료되어 패치가 제공되지 않으나 현재 공공 시설 및 여러 산업에서 여전히 사용중이다.

윈도우의 심각한 취약점(CVE-2024-38063)에 대한 개념 증명(PoC) 코드가 공개됐다. 이 취약점은 IPv6 패킷을 이용해 원격에서 코드를 실행할 수 있도록 해주며, 이를 악용하기 위해서는 인증이 필요 없다.

이 취약점은 윈도우 10, 11, 그리고 윈도우 서버 시스템에 영향을 미치며, 마이크로소프트는 8월 13일 패치를 발표했지만, 아직 패치를 적용하지 않은 다수 시스템이 위험에 노출돼 있다.

한편 북한 해커들이 최근 패치된 구글 크롬 제로데이 취약점(CVE-2024-7971)을 악용해, 푸드모듈(FudModule) 루트킷을 배포했다. 이 공격은 윈도우 커널 익스플로잇으로 시스템 권한을 획득한 뒤 이루어지며, 주로 암호화폐 관련 기관과 개인을 대상으로 실행했다.

'시트린 슬리트(Citrine Sleet)'로 알려진 북한 해킹 그룹이 공격을 주도했으며 다른 북한 해킹 그룹인 '다이아몬드 슬리트(Diamond Sleet)'도 연관됐다. 둘은 가짜 암호화폐 거래 사이트나 악성 소프트웨어를 통해 피해자를 감염시켰다.

기타 보안 동향

이란 해커 그룹 '그린찰리(GreenCharlie)'가 미국 정치 캠페인을 겨냥한 새로운 네트워크 인프라를 구축했다. 이 그룹은 피싱 공격을 통해 초기 접근을 확보한 후, 데이터를 탈취하거나 추가적인 악성 소프트웨어를 설치하는 다단계 공격을 수행했다.

주로 동적 DNS 제공업체를 이용해 도메인을 등록하고, 클라우드 서비스나 파일 공유 관련 주제로 타겟을 유인했다.

한편, 구글 시트를 명령 및 제어(C2) 메커니즘으로 사용하는 새로운 악성코드 캠페인이 발견됐다. 이 캠페인은 70개 이상의 전 세계 조직을 대상으로 유럽, 아시아, 미국의 세무 당국을 사칭한 뒤, 정보 수집 및 추가 악성코드를 배포했다.

주로 파워셸과 파이썬 스크립트를 사용해 시스템 정보를 수집하고, 구글 시트를 통해 명령을 실행하거나 데이터를 탈취했다.