AI 사이버 보안 글로벌 기업 다크트레이스(Darktrace)는 지난 6개월 동안 관찰된 기업이 직면한 주요 위협과 공격 방법을 식별하는 ‘2023년 연말 위협 보고서’를 발표했다. 이 보고서는 사이버 보안 환경의 급격한 변화와 전통적인 방어를 피하려는 공격자가 채택한 새로운 기술을 조명한다.

보고서에 따르면 서비스형 공격은 계속해서 위협 환경을 지배하고 있으며, 서비스형 멀웨어(MaaS) 및 서비스형 랜섬웨어(RaaS) 도구가 공격자가 사용하는 악성 도구의 대부분을 차지하고 있다. 서비스형 도구는 공격자에게 미리 만들어진 멀웨어부터 피싱 이메일, 결제 처리 시스템 및 헬프라인에 이르기까지 모든 것을 제공하여 공격자는 낮은 수준의 기술 지식으로도 공격할 수 있다.

공격자가 자주 사용하는 서비스형 도구

보고서가 밝힌 2023년 7월부터 12월까지 공격자가 사용한 가장 일반적인 서비스형 위협 도구는 다음과 같다.

① 멀웨어 로더(77%) : 다른 형태의 멀웨어를 전달하고 실행할 수 있으며 공격자가 영향을 받는 네트워크를 반복적으로 표적으로 삼을 수 있다.

② 암호화폐 채굴자(52%) : 감염된 기기를 사용하여 암호화폐를 채굴

③ 봇넷(39%) : 감염된 장치의 더 넓은 네트워크에 사용자를 등록하고, 공격자는 다른 대상에 대한 더 큰 규모의 공격을 활용한다.

④ 정보 도용 멀웨어(36%) : 스파이웨어나 웜과 같은 악성 소프트웨어는 피해자의 컴퓨터나 네트워크에서 민감한 데이터에 비밀리에 액세스하고 수집하도록 설계되었다.

⑤ 프록시 봇넷(15%) : 프록시를 사용하여 활동의 진정한 출처를 숨기는 보다 정교한 봇넷.

이 보고서에는 경비원의 변화도 담겨 있다. 다크트레이스는 6차 위협 보고서에서 2023년 초 하이브 랜섬웨어를 서비스형 랜섬웨어 공격의 주요 요소 중 하나로 확인했다. 2023년 1월 미국 정부에 의한 하이브 해체로 다크트레이스는 주요 뉴스 사이트에 가짜 바이러스 경보를 퍼뜨리는 것으로 악명 높은 악성 광고 배우 스캠클럽과 최근 몇 달 동안 미국 인프라 직원을 공격한 AsyncRAT 등 다양한 위협이 빠르게 증가했다.

고급 솔루션으로 전환해 기존 보안조치 우회하는 공격자들

기업이 커뮤니케이션을 위해 이메일과 협업 도구에 계속 의존함에 따라 피싱과 같은 방법은 보안 팀에 계속 골칫거리가 되고 있다. 다크트레이스는 2023년 9월 1일부터 12월 31일까지 고객 전체에서 1040만 개의 피싱 이메일을 탐지했다.

이 보고서는 사이버 범죄자들이 전통적인 보안 매개 변수를 피하기 위해 설계된 보다 정교한 도구와 전술을 어떻게 수용하고 있는지도 강조한다. 한 예로 공격자가 팀을 통해 직원에게 연락하여 동료 행세를 하고 악의적인 링크를 클릭하도록 속이는 마이크로소프트 팀즈 피싱의 부상을 들 수 있다. 2023년 9월 한 사례에서 다크트레이스는 팀즈 피싱 의심자가 다크게이트 멀웨어를 다운로드하고 네트워크 전반에 추가 유형의 멀웨어를 배포하는 쉐어포인트 링크를 클릭하도록 사용자를 속이려는 것을 확인했다.

또 다른 새로운 동향은 피해를 극대화할 수 있는 다양한 기능을 개발한 멀웨어의 증가이다. 사이버 카르텔과 같은 정교한 그룹에 의해 배포되는 경우가 많은 스위스 군용 칼 스타일의 위협은 여러 기능을 결합한다. 예를 들어, 최근 Black Basta 랜섬웨어는 자격 증명 도용을 위한 Qbot 뱅킹 트로이 목마도 확산시켰다. 이러한 멀티 태스킹 멀웨어를 통해 공격자는 광범위한 네트워크를 통해 감염을 통해 수익을 창출할 수 있다.

하나 달리(Hanah Darley) 다크트레이스의 위협 연구 책임자는 "2023년 한 해 동안 우리는 멀웨어와 랜섬웨어 위협의 상당한 발전과 진화를 관찰했으며, 생성 AI의 증가를 포함하여 기술 산업 전반의 혁신으로 인한 공격자 전술과 기술이 변하고 있다. 때문에 조직이 직면한 위협의 폭, 범위 및 복잡성이 크게 증가했다."라며, "보안 팀은 공격자보다 앞서 나가기 위해 힘든 싸움에 직면해 있으며, 어제의 위협을 쫓는 것이 아니라 새로운 공격보다 앞서 나갈 수 있는 보안 스택이 필요하다."고 조언했다.