전 세계에서 발생하는 지능형 표적공격의 상당수가 중국어를 기반으로 하는 것으로 나타났다. 또한 한국어 기반 해킹조직이 카지노를 공격한 사례도 발견됐다.
카스퍼스키랩이 추적하고 있는 전 세계 주요 해킹조직 동향을 분석한 보고서에 따르면 올해 3분기 발생한 지능형 표적공격 24건 중 10건이 중국어 기반 해킹조직으로 나타났다.
한국어를 기반으로 하는 해킹조직 중 라자루스(Lazarus)에 속한 것으로 추정되는 블루노로프(Bluenoroff)가 코스타리카의 카지노를 6개월만에 다시 공격한 사실이 발견됐다. 또 다른 한국어 기반 해킹 조직인 스카크러프트(Scarcruft)는 한국의 유명 기관과 정치 단체를 표적으로 삼아 데이터를 파괴하는 악성 코드와 사이버 스파이 활동을 위한 악성 코드를 사용했다.
국제 관계도 위협하는 APT
보고서에서는 7월부터 9월까지 추적한 해킹조직의 활동을 분석했는데, 중국어, 러시아어, 영어, 한국어 기반 해킹 조직의 공격이 상당수 증가한 것으로 나타났다. 이 기간에는 중국어 기반 조직이 활발한 움직임을 보였는데, 이들의 활동이 다시 고개를 들면서 다양한 조직뿐 아니라 정부와 정치 기관을 비롯, 대규모 지역 협약에도 악영향을 미치고 있다. 이제 국제 관계마저 지능형 표적 공격의 위험에 놓이게 된 것이다.
그 중 가장 큰 주목을 받은 사건은 넷사랑/섀도우 패드(Netsarang/ShadowPad)와 CC클리너(CCleaner) 공격이었며, 두 경우 모두 정상 소프트웨어 설치 패키지에 특정 백도어를 삽입하는 방식으로 이뤄졌다. CC클리너 공격에서만 감염된 컴퓨터가 200만 대에 달해 2017년 최대 규모의 사이버 공격 중 하나로 기록됐다.
중국어 기반 해킹 조직은 전략시설과 경제부문을 공격하는데 관심을 쏟고 있는 것으로 보이는데, 러시아와 몽골의 항공사 및 연구 기관을 공격한 아이언허스키(IronHusky)가 대표적이라고 분석했다. 이 공격은 7월 감지됐으며, 중국어 기반 해킹 조직이 포이즌 아이비(Poison Ivy) 악성코드의 변종으로 러시아와 몽골을 공격한 것으로 드러났다. 이 공격은 올해 초 몽골과 러시아의 주요 협상 안건이었던 몽골의 방공 전망과 연관돼 잇다.
인도 AV 위장한 악성코드 발견
인도와 러시아의 에너지 부문에서는 H2O디컴포지션(H2ODecomposition)이라는 신종 악성코드가 발견됐는데, 인도의 유명 안티 바이러스 솔루션 ‘퀵힐(QuickHeal)’로 위장해 배포된 사례도 일부 발견됐다.
러시아어 기반 해킹 조직은 대부분 금융기관과 ATM을 노린 것이었으며, 영어 기반 해킹 조직 활동 중에서는 램버츠(Lamberts) 해킹 도구군의 새로운 종류인 레드 램버트(Red Lambert)가 발견됐다. 램버츠는 2008년부터 하나 이상의 해킹 조직이 유명 기관을 상대로 사용해온 정교한 공격 도구이며, 레드 램버트는 네트워크 기반 백도어가. 이전에 실시된 그레이 램버트(Grey Lambert) 분석 도중 발견됐으며, C&C 통신 시 하드 코딩된 SSL 인증서를 대신해 사용된다.
