[데이터넷] iOS는 ‘상대적으로’ 안전한 OS이지만, 절대 해킹 불가한 것은 아니다. 6월 발견된 ‘트라이앵글레이션 작전(Operation Triangulation)’의 경우, 아이메시지(iMessage) 익스플로잇을 통해 유포됐으며, 피해자 기기에 ‘트라이앵글DB(TriangleDB)’라는 스파이웨어를 설치한다. 이 스파이웨어는 메모리에서 작동하며, 기기의 파일을 탐색하고, 키체인에 저장된 암호와 자격증명을 탈취한다. 그리고 추가 모듈을 실행해 피해자 기기를 통제한다.
카스퍼스키의 ‘2023년 2분기 APT 동향 보고서’에서는 이 기간 동안 가장 주목할만한 발견으로 iOS 타깃 트라이앵글 작전을 언급하면서 iOS도 안전하지 않다는 것을 강조했다. 공격자는 익스플로잇이 포함된 아이메시지를 피해자에게 전송하며, 피해자 기기에서 취약점을 트리거 해 원격에서 코드를 실행시킨다. C&C 통신으로 권한 상승을 위한 추가 익스플로잇을 진행한다. 카스퍼스키가 발견한 침해 기기 중 가장 오래된 것은 2019년이었고, 감염된 최신 OS 버전은 iOS15.7이었다.
침투 액세스 권한 판매하는 러시아 공격자
이 보고서에서는 정부기관 문서로 위장하는 사회공학 기법 공격에 대해서도 설명했다. 북한 배후 공격그룹 블로노로프(BlueNoroff)는 정부기관의 벤처캐피탈과 조사 보고서로 위장된 트로이목마화 된 PDF를 배포하는데, 피해자가 PDF를 열어보면 자동 감염된다. 악성 PDF는 윈도우는 물론 맥OS까지 감염시킨다.
북한배후 공격그룹의 활동은 트레이딩 테크놀로지를 통해 3CX를 감염시키고, 3CX 고객까지 피해를 입힌 연쇄적인 공급망 공격으로 또 다시 악명을 떨쳤다. 이 공격의 배후에 라자루스가 있을 것으로 보이며, 고푸람(Gopuram) 백도어는 애플제우스와 함께 2020년 탐지됐다. 블루노로프의 최신 백도어도 이와 유사한 방법으로 진행됐다.
파키스탄의 외교 문제와 관련된 문서를 위장하는 ‘신비한 코끼리(Mysterious Elephant)’ 캠페인도 있다. 이 취약점은 오래된 윈도우 오피스에서 작동하며, 원격 탬플릿 역할을 하는 다른 스피어피싱 문서를 통해 감염된다.
마이크로소프트가 오피스 문서 초기 설정에서 매크로 자동 설정을 해제하면서 감염율이 떨어지자 스카크러프트(ScarCruft) 그룹은 다른 멀웨어 전달 방법을 채택했다. 이들은 .RAR, .ZIP, .ISO 등의 확장자를 사용한다.
러시아 기반 공격자들은 여전히 활발한 활동을 벌이고 있는데, 그 중에서도 액세스 권한을 판매하는데 중점을 두고 있는 킬넷(Killnet)이 주목된다. 이들은 친러시아 성향의 핵티비스트로, 러시아와 경쟁관계에 있는 국가·기관에 대한 디도스 공격을 사용해왔다.
중국 기반 공격자 토디캣(ToddyCat)은 말레이시아, 태국, 파키스탄 정부를 타깃으로 공격하고 있으며, 측면이동, 데이터 수집, 유출 등의 기능을 향상시키는 공격도구 세트 업데이트 버전을 사용하고 있다. 이들은 CDN 서비스 클라우드플레어를 C2 서버로 사용해 악성 C2 서버 탐지를 피한다.
기본적인 보안부터 점검해야
한편 카스퍼스키는 표적형 공격 피해를 막기 위해 다음의 조치를 취할 것을 권고했다.
시스템 보안을 확실히 한다. 운영 체제와 기타 타사 소프트웨어를 최신 버전으로 즉각 업데이트하는 것이 매우 중요하다. 잠재적 취약점 및 보안 위험으로부터 보호하기 위해 필수적으로 정기 업데이트 일정을 유지해야 한다.
그레이트(GReAT) 전문가들이 개발한 카스퍼스키 온라인 교육을 통해 사이버 보안 팀의 역량을 향상시켜 최신 표적형 위협에 맞서 대응하기 위한 준비를 갖춘다.
최신 위협 인텔리전스 정보를 사용해 공격자들이 실제로 사용하는 TTP의 최근 내용을 잘 파악한다.
엔드포인트 수준의 탐지, 조사 및 시의적절한 대처를 위해 EDR 등의 솔루션을 도입한다.
전용 서비스는 널리 알려진 공격에 대응하는 데 도움이 될 수 있다. 카스퍼스키 MDR은 침입자가 목적을 달성하기 전에 침입을 초기에 파악·차단하는 데 도움이 된다.
