MS 오피스365 위장 공격·RDP 취약점 공격 심각…IoT 봇넷 위협 높아져
[데이터넷] 랜섬웨어 공격자들이 새로운 랜섬웨어를 만들어 다수 대중을 대상으로 무차별 공격하는 것 보다 정교하게 타깃 맞춤형으로 제작한 공격 방식으로 정부·공공기관, 사회의 중요 시설을 노리는 방향으로 전환하고 있다.
트렌드마이크로의 ‘2019 위협 결과 보고서’에 따르면 지난해 발견된 새로운 랜섬웨어 패밀리는 57% 감소했지만, 발견된 랜섬웨어 공격은 10% 증가했다. 미국에서는 110개의 주와 연방정부, 기관이 랜섬웨어 공격을 받았으며, 전 세계적으로 700개 이상 기업이 랜서무에어 영향을 받았다. 공격이 쉽고 피해 발생 시 많은 돈을 지불할 가능성이 높은 헬스케어 산업이 중요 타깃이 되었다.
지난해 발견된 랜섬웨어는 AD 서버를 통해 자동으로 전사 배포하도록 해 개별 PC를 치료한다해도 재감염되도록 했으며, 보안 소프트웨어를 우회하고 탐지를 피하기 위해 윈도우 시스템을 안전모드로 재부팅 했다. 또한 다양한 프로세스를 종료할 수 있으며, 맞춤형 사용자 정의 공격 방식을 택했다.
합법적 로그인 페이지 위장해 계정 정보 탈취
공격자는 윈도우 정상 프로그램을 악용하는 방법을 선호하는데, 특히 지난해 발견된 공격은 가장 많은 사용자를 보유한 마이크로소프트 오피스365를 악용한 것이었다. 아웃룩을 스푸핑한 피싱 캠페인으로 오피스365의 정상 메시지인 것 처럼 위장했다. 일부 공격은 확장 프로그램을 사용해 생성된 합법적인 로그인 페이지로 보이게 했으며, 가짜 온라인 뱅킹 페이지를 띄워 피해자가 자격증명과 OTP를 입력하도록 했다.
비즈니스 이메일 침해(BEC)로 인한 피해도 줄어들지 않고 있다. 지난해 발생한 BEC 중 29%가 재무 관리자를, 8.3%는 재무이사를, 7.3%는 최고 재무책임자(CFO)를 노렸다. 4.4%는 회계사를 노렸다.
취약점을 이용하는 공격도 늘어나고 있다. 마이크로소프트의 RDP 취약점을 이용하는 블루킵 공격이 지속적으로 발견되는데도 불구하고 블루킵 취약점 공격 발생 2개월 후에도 80만개 이상 취약한 시스템이 패치되지 않은 채 발견됐다.
이 보고서에서는 대규모 IoT 봇넷의 위험성도 경고했다. IoT 봇넷은 무차별 대입 공격을 위해 주로 사용되는데, 보안되지 않은 장치에 액세스 하기 위해 무작위 계정 정보를 입력한다. 계정 정보를 관리하지 않는 IoT 기기를 탈취하는데 유용한 방법으로, 트렌드마이크로가 발견한 무차별 로그인 횟수는 전년대비 3배 증가했다고 밝혔다.
공급망 공격 위협 높아져
보고서는 공급망 공격 위협에 대해서도 경고했다. 특히 전자상거래사이트를 노린 ‘메이지카트(Magecart)’에 대해 재조명했는데, 새로 발견된 메이지카트 그룹 12는 타사 광고 서비스 제고엉ㅂ체를 공격해 수백개의 전자상거래 사이트를 감염시켰다. 또 다른 공격그룹 FIN6는 인기있는 전자상거래 플랫폼에서 호스팅되는 수천개의 온라인 상점을 손상시켰다.
보고서는 이러한 위협을 막기 위해 게이트웨이, 네트워크, 서버 및 엔드 포인트에서 악의적 인 활동을 탐지 할 수있는 솔루션을 선택해야 한다고 조언했다. 보안 격차를 해결하고 운영, 평판 및 수익에 영향을 줄 수있는 사이버 공격을 방지하기 위해 업계 모범 사례와 결합 된 다층 전략을 고려해야 한다고 제안했다.
