뉴스10. 인도 연계 APT ‘SideWinder’, 글로벌 스파이로 진화해 동남아 노린다

 

기사 요약: 인도 연계된 것으로 추정된 해킹 조직이 동남 아시아 전역으로 APT 공격 범위를 확대하고 있다. 금전 목적이 아닌 국가 차원의 정보 수집을 목표로 한 사이버 첩보 활동으로 분석된다.

 

공격 방법 (스피어피싱)

1)‘정부 감사’처럼 보이는 이메일을 보내 클릭을 유도

2)특정 대상만 노리는 정밀 공격 방식 (스피어피싱)

 

오래된 MS 오피스 취약점 사용하여 DLL 하이재킹 기법 사용하였다. 이미 알려진 방법이지만 계속 반복 사용하였고, 윈도우 서비스에 악성코드를 숨겨 장기간 접근 유지하며, 한 번 감염되면 쉽게 제거되지 않는다. 악성코드 실행 시, C2 서버 주소를 실시간으로 변경하여 보안 장비가 추적하기 어렵게 만든다. 또한, 파일 이름만 바꿔 공격 인프라를 빠르게 변경한다.

개인 의견: 오래된 공격 방법이지만, 그 공격 방법을 조금 변형해서 공격하는 것만으로 공격 인프라를 통채로 갈아치울 수 있다는 사실이 신기했다. 해커들만 공격 방법을 조금 변형해서 할 것이 아니라 보안 담당자들도 기존 보안 방법의 변형에 대해 고민해볼 필요가 있다.

 

<용어정리>

스피어 피싱: 개인이나 조직을 표적으로 하는 사이버 공격의 한 유형. 불특정 다수를 향한 공격이 아닌 공격 대상에 대한 정보를 미리 수집하여 신뢰를 얻은 후 속이는 사회 공학적 기법을 사용한다.

DLL 하이재킹: 프로그램이 불러야 할 정상 DLL 대신, 해커가 만든 가짜 DLL을 실행하게 만드는 공격

C2 서버: 해커가 원격으로 조종하는 서버

 

뉴스 링크: https://www.boannews.com/media/view.asp?idx=142752&page=1&kind=3