지능형 지속적 위협 그룹

국가가 후원하는 사이버 공격자, 표적으로 삼은 대상, 운영 방식을 안내하는 현장 가이드

FireEye는 전 세계 모든 사이버 공격자를 추적합니다. 특히 지능형 지속적 위협(APT)을 수행하는 공격자에게 특별한 관심을 기울이고 있습니다.

APT 공격자들은 국가 기관의 지침 및 지원을 받습니다. 데이터 절도, 운영 업무 방해, 인프라 파괴 등 공격자의 임무가 무엇이든, 이러한 공격자는 광범위한 툴과 전술을 사용하여 자신의 목표를 집요하게 추구합니다.

대부분의 사이버 범죄와 달리, APT 공격자들은 대개 몇 달 또는 몇 년의 오랜 기간에 걸쳐 자신의 목표를 추구합니다. 이들은 공격을 근절하려는 조직의 노력에 따라 공격 경로나 악성코드 페이로드를 자주 변경하면서 공격 방식을 조정합니다. 또한 네트워크에서 퇴치된 후에도 동일한 피해자에게 여러 번 돌아오는 경우가 잦습니다.

시스템에 APT와 연결된 악성코드 변형이 존재한다고 해서 항상 APT 공격자의 집중 표적이라는 의미는 아닙니다. 다른 사이버 범죄에서도 APT와 연결된 악성코드를 사용합니다.

시스템에 악성코드를 도입한 사람을 파악하려면 보통 자세한 상황 정보가 포함된 인텔리전스가 필요합니다. 보안 툴에서 이전의 APT 공격에 연결된 악성코드를 탐지하는 경우 보안 팀에서는 지속적으로 긴밀한 주의를 기울여야 합니다.

이 페이지에서는 가장 많이 사용되는 APT군 중 15가지를 집중적으로 다룹니다. APT군은 사이버 위협 환경에서 여전히 활동하고 있습니다.

logo-apt35

APT 그룹

APT37 | APT34 | APT33 | APT32 | APT30 | APT29 | APT28 | APT19
APT18 | APT17 | APT16 | APT12 | APT10 | APT5 | APT3 | APT1

APT37

의심 국가: 북한

대상 부문: 주로 한국의 다양한 업종(화학, 전자, 제조, 항공 우주, 자동차 및 의료 등)을 표적으로 삼지만 일본, 베트남 및 중동이 표적이 되기도 합니다.

요약: APT37의 최신 활동을 분석한 결과 그룹이 제로데이 취약점 및 와이퍼 악성코드 액세스를 포함한 툴셋을 통해 공격의 범위를 확대하고 수준을 높여가는 것으로 확인되었습니다. 이들이 개발한 악성코드를 볼 때, 그리고 공격 대상이 북한 정부의 이해관계와 긴밀한 연관성이 있다는 점을 볼 때, APT37은 북한 정부를 대신해 공격 활동을 펼치고 있다는 것이 FireEye의 결론입니다. FireEye iSIGHT 인텔리전스는 APT37이 기존에 Scarcruft와 Group123으로 알려진 조직과 관련이 있을 것으로 보고 있습니다.

관련된 악성코드: 초기 침투와 유출에 다양한 악성코드를 이용합니다. APT37은 스파이 목적으로 이용되는 맞춤형 악성코드 외에 파괴적인 악성코드도 이용합니다.

공격 경로: 원하는 표적에 맞춰진 소셜 엔지니어링 전술, 표적 사이버 스파이 작전의 전형이라고 할 수 있는 전략적 웹 해킹과 토렌트 파일 공유 사이트를 이용한 무차별 악성코드 배포 등이 포함됩니다. 한글 워드 프로세서(Hangul Word Processor, HWP)와 Adobe Flash의 취약점을 자주 악용합니다. 이 그룹은 제로데이 취약점(CVE-2018-0802)에 액세스하고 이러한 취약점을 공격에 활용할 수 있습니다.

APT34

의심 국가: 이란

대상 부문: 이 위협 그룹은 금융, 정부기관, 에너지, 화학 및 통신을 비롯한 다양한 산업을 대상으로 공격을 벌였으며 이러한 공격은 중동에서 집중적으로 발생했습니다.

요약: APT34는 이란의 국가적 이익을 위한 정찰에 초점을 둔 장기적인 사이버 스파이 공격과 관련되었으며 최소한 2014년부터 시작된 것으로 보입니다. 인프라 세부 정보에 이란에 대한 언급과 이란 인프라의 사용에 대한 내용이 포함되고 공격의 표적이 이란의 국가적 이익과 일치하는 것으로 볼 때 APT34는 이란 정부를 대신하는 것으로 판단됩니다.

관련된 악성코드: POWBAT, POWRUNER, BONDUPDATER

공격 경로: 최신 캠페인에서 APT34는 최근에 발견된 Microsoft Office 취약점인 CVE-2017-11882를 활용하여 POWRUNER와 BONDUPDATER를 설치했습니다.

logo-apt34

APT33

의심 국가: 이란

대상 부문: 항공우주, 에너지

요약: APT33은 미국, 사우디아라비아 및 한국에 본사를 둔 여러 산업의 조직을 표적으로 삼았습니다. APT33은 군사 및 상용 항공 부문의 조직과 석유화학 생산 관련 에너지 부문 조직에 특히 관심을 보였습니다.

관련된 악성코드: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

공격 경로: APT33은 항공 산업과 관련된 직원에게 스피어 피싱 이메일을 발송했습니다. 이 이메일에는 채용 관련 주제의 미끼와 악성 HTML 애플리케이션(.hta) 파일의 링크가 들어 있었습니다. .hta 파일에는 업무에 관한 설명과 표적이 된 개인에게 적절해 보이는 유명 구인/구직 웹 사이트의 합법적인 채용 공고 링크가 포함되어 있었습니다.

APT32

다른 이름: OceanLotus Group

의심 국가: 베트남

대상 부문: 베트남의 제조, 소비자 제품, 컨설팅 및 숙박시설 부문에 투자하는 외국 기업

요약: 베트남의 민간 이해관계를 표적으로 삼는 최근 활동을 봤을 때 APT32는 베트남에서 사업 또는 제조 활동을 하거나 투자를 준비하는 기업들에 위협이 됩니다. 이 활동의 동기에 대한 구체적인 정보는 여전히 알려지지 않았지만 궁극적으로 표적 조직의 경쟁 우위를 잠식할 수 있습니다.

관련된 악성코드: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

공격 경로: APT32 공격자는 소셜 엔지니어링 방법을 채택하여 피해자가 매크로를 사용하도록 유도하는 ActiveMime 파일을 활용합니다. 실행 시 시작된 파일이 보통 원격 서버에서 여러 악성 페이로드를 다운로드합니다. APT32 공격자는 스피어 피싱 이메일을 통해 악성 첨부 파일을 제공합니다. 증거에 따르면 일부는 Gmail을 통해 전송된 것으로 보입니다.

logo-apt32

자세한 내용 보기

APT30

의심 국가: 중국

대상 부문: 동남아시아 국가 연합(ASEAN) 회원국

요약: APT30은 오랫동안 지속적인 활동으로 주목을 받았을 뿐만 아니라 최소한 2005년부터는 동일한 툴, 전술 및 인프라를 유지하기 위해 성공적으로 소스 코드를 수정하고 조정한 것으로도 유명합니다. 증거에 따르면 그룹이 표적의 우선 순위를 정하며, 대개 협력적인 환경에서 교대로 일하면서 일관성 있는 개발 계획에 따라 악성코드를 빌드하는 것으로 보입니다. 이 그룹은 2005년 이후로 에어갭 네트워크를 감염시키는 기능을 갖추었습니다.

관련된 악성코드: SHIPSHAPE, SPACESHIP, FLASHFLOOD

공격 경로: APT30은 다운로더, 백도어, 중앙 컨트롤러, 그리고 이동식 드라이브와 교차 에어갭 네트워크를 감염시켜 데이터를 유출하도록 설계된 몇 가지 컴포넌트가 포함된 툴 세트를 사용합니다. APT30은 대개 악성코드 CnC 활동을 위해 자체 DNS 도메인을 등록합니다.

APT29

의심 국가: 러시아 정부

대상 부문: 서유럽 정부, 외국 정책 그룹 및 기타 유사 조직

요약: APT29는 거의 통신하지 않으면서 합법적인 트래픽을 유사하게 흉내내는 방식으로 피해자의 네트워크에 대한 활동을 숨기는 숙련된 적응형 위협 그룹입니다. 이 그룹은 합법적인 대중 웹 서비스를 사용하여, 암호화된 SSL 연결을 통해 탐지를 더 어렵게 만들 수도 있습니다. APT29는 가장 진화되었으며 역량을 갖춘 위협 그룹 중 하나입니다. 또한 자체 버그를 수정하고 기능을 추가하는 새로운 백도어를 설치하고, 네트워크 방어자 활동을 모니터링하여 시스템에 대한 제어를 유지합니다. APT29는 침해된 서버만 CnC 통신에 사용하며, 공격에 대응하려는 시도를 저지합니다. 또한 자체 악성코드에 대한 빠른 개발 주기를 유지하면서 탐지를 방해하기 위해 툴을 빠르게 변조합니다.

관련된 악성코드: HAMMERTOSS, TDISCOVER, UPLOADER

공격 경로: APT29는 Twitter, GitHub 등의 소셜 미디어 사이트와 클라우드 저장 서비스를 사용하여 명령을 중계하고 침해된 네트워크에서 데이터를 추출했습니다. 이 그룹은 암호화되어 숨겨진 데이터가 포함된 이미지를 통해 명령을 중계합니다. 침해된 네트워크에서 정보가 추출되며, 파일이 클라우드 저장 서비스로 업로드됩니다.

APT28

다른 이름: 차르(Tsar) 팀

의심 국가: 러시아 정부

대상 부문: 카프카스 산맥 특히 조지아, 동유럽 국가 및 군대, 북대서양 조약 기구(NATO), 기타 유럽 보안 조직 및 방산업체

요약: APT28은 방위 및 지정학적 문제에 대한 인텔리전스(정부에만 유용한 인텔리전스)를 수집하는 개발자 및 운영자로 구성된 숙련된 팀입니다. 이 APT 그룹은 모스크바, 상트페테르부르크 등 러시아 주요 도시의 표준 시간대 기준으로 일과 시간(오전 8시~오후 6시) 동안 러시아 언어 설정을 사용하여 악성코드 샘플을 컴파일합니다. 이러한 사실은 곧 APT28이 러시아 정부 같은 안정된 조직으로부터 지속적인 재무 및 기타 리소스를 직접 받는다는 것을 의미합니다.

관련된 악성코드: CHOPSTICK, SOURFACE

공격 경로: APT28에서 일반적으로 사용하는 툴에는 SOURFACE 다운로더, 2단계 백도어 EVILTOSS, CHOPSTICK이라는 별명을 가진 이식물(implant)의 모듈식 군집이 포함됩니다. APT28은 RSA 암호화를 채택하여 파일을 보호하고 피해자의 네트워크에서 컨트롤러로 이동시킨 정보를 훔쳤습니다. 또한 2007년 이후로 SOURFACE 다운로더 및 주변 에코시스템을 증분식으로, 체계적으로 변경했습니다. 이는 곧 전담팀이 오랫동안 개발해 온 것을 나타냅니다.

APT19

다른 이름: 코도소(Codoso) 팀

의심 국가: 중국

대상 부문: 법률 및 투자

요약: 프리랜서로 구성되었을 가능성이 있는 그룹으로, 중국 정부로부터 어느 정도 지원을 받고 있는 것으로 보입니다.

관련된 악성코드: BEACON, COBALTSTRIKE

공격 경로: 2017년에 APT19는 세 가지 기술을 사용하여 대상에 공격을 시도했습니다. 5월 초에 발생한 피싱 공격에서는 Microsoft Windows 취약점(CVE 2017-0199)을 악용한 RTF 첨부 파일이 미끼로 활용되었습니다. 5월 말에 APT19는 매크로가 활성화된 Microsoft Excel(XLSM) 문서를 사용하는 공격으로 방향을 전환했습니다. 가장 최신 버전의 APT19는 XLSM 문서에 애플리케이션 화이트리스팅 우회를 추가했습니다. Cobalt Strike 페이로드를 전달한 피싱 공격이 한 건 이상 목격되었습니다.

World political

APT18

다른 이름: Wekby

의심 국가: 중국

대상 부문: 우주 항공 및 방위, 건설 및 엔지니어링, 교육, 의료 및 생명공학, 하이테크, 통신 및 운송

요약: 이 그룹에 대해서는 공개적으로 발표된 내용이 거의 없습니다.

관련된 악성코드: Gh0st RAT

공격 경로: 사전에 계획된 것으로 보이는 공격을 위해 빈번하게 개발되거나 조정된 제로데이 익스플로잇이 발견되었습니다. 이 그룹은 해킹 팀이 유출하는 데이터를 사용했는데 이는 이 그룹이 익스플로잇이 새로 드러날 때와 같이 갑작스런 기회가 나타날 때 역할 분담(즉, 표적 선택, 인프라 준비, 메시지 고안, 툴 업데이트)이 가능한 다양한 리소스를 보유하고 있음을 보여줍니다.

APT17

다른 이름: 테일게이터(Tailgator) 팀, 데퓨티 독(Deputy Dog)

의심 국가: 중국

대상 부문: 미국 정부와 국제 법률 회사 및 정보 기술 회사

요약: 표적 조직의 네트워크에 침입합니다.

관련된 악성코드: BLACKCOFFEE

공격 경로: 이 위협 그룹은 포럼에서 프로필과 게시물을 작성하는 기능을 악용하여 인코딩된 CnC(Command and Control, 명령 및 제어)를 내장한 후 사용된 악성코드의 변종과 함께 사용했습니다. 이 기술은 네트워크 보안 전문가가 CnC의 실제 위치를 파악하기가 어렵고 CnC 인프라가 장기간 활성 상태로 유지될 수 있다는 특징이 있습니다.

APT16

의심 국가: 중국

대상 부문: 일본 및 대만의 하이테크, 정부기관, 미디어 및 금융 서비스 산업 조직

요약: 대만의 정치 및 언론 문제에 관심을 갖는 그룹으로, 중국에 근거지를 두고 있습니다.

관련된 악성코드: IRONHALO, ELMER

공격 경로: 스피어 피싱 이메일을 대만의 미디어 조직 및 웹 메일 주소로 발송합니다. 대만 경매 웹 사이트 등록 지침과 상품 목록이 포함된 문서를 미끼로 사용합니다.

World political

APT12

다른 이름: 캘크(Calc) 팀

의심 국가: 중국

대상 부문: 언론, 정부, 방위 산업 기지

요약: APT12는 중국 인민해방군과 연결된 사이버 스파이 그룹인 것으로 생각됩니다. APT12의 표적은 중국 인민공화국(PRC)의 목표와 일치합니다. 이 그룹이 지휘한 침입 공격과 캠페인은 중국 인민공화국의 목표 및 대만 내 이해 타산과 밀접하게 연결되어 있습니다.

관련된 악성코드: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

공격 경로: FireEye는 APT12가 유효하지만 손상된 계정의 피싱 이메일을 통해 이러한 익스플로잇 문서를 전달하는 것을 목격했습니다. 지난 APT12 활동을 근거로 볼 때 이 위협 그룹은 계속해서 피싱을 활용하여 악성코드를 전달할 것으로 예상됩니다.

APT10

다른 이름: 메뉴패스(Menupass) 팀

의심 국가: 중국

대상 부문: 미국, 유럽 및 일본의 건설 및 엔지니어링, 항공 우주 및 통신 회사와 정부기관

요약: APT10은 FireEye가 2009년부터 추적해 온 중국의 사이버 스파이 그룹입니다. 현재까지 미국, 유럽 및 일본의 건설 및 엔지니어링, 항공 우주 및 통신 회사와 정부기관을 표적으로 삼아 왔습니다. 유용한 군사 및 인텔리전스 정보를 입수하고 기밀 비즈니스 데이터를 훔쳐 중국 기업을 지원하는 등 중국의 국가 안보 목표를 지원하기 위해 이러한 산업을 표적으로 삼은 것으로 보입니다.

관련된 악성코드: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

공격 경로: 최근 APT10 활동에는 기존의 스피어 피싱과 관리형 서비스 제공자를 통해 피해자의 네트워크에 액세스하는 기법이 포함되었습니다. (서비스 제공자를 통한 감염에 대한 자세한 내용은 M-Trends 2016년 참조). APT10 스피어 피싱은 비교적 간단한 공격 기법으로, 아카이브 내의 .lnk 파일과 확장자가 두 개인 파일(예: [Redacted]_Group_Meeting_Document_20170222_doc_.exe)을 활용하며 경우에 따라 동일한 이름의 미끼 문서 및 동일한 아카이브 내의 악성 런처를 활용하기도 합니다. FireEye ISIGHT Intelligence는 APT10이 스피어 피싱에 더해 글로벌 서비스 제공자를 통해 피해자에게 접근하는 경로 역시 목격했습니다.

World political

APT5

의심 국가: 알려지지 않았음

대상 부문: 지역별 통신 서비스 공급자, 아시아 지역의 글로벌 통신사 직원 및 기술 회사, 하이테크 제조업, 군사 응용 기술

요약: APT5는 최소한 2007년부터 활동을 시작했습니다. APT5는 여러 산업에 종사하는 조직을 표적으로 삼거나 침해했지만 주로 통신 및 기술 회사, 특히 위성 통신에 관한 정보를 표적으로 하는 것으로 보입니다.

관련된 악성코드: LEOUNCIA

공격 경로: 구분된 전술 및 인프라를 갖춘 여러 개의 하위 그룹으로 구성된 대규모 위협 그룹으로 보입니다. 이 그룹은 악성코드와 키로깅 기능을 사용하여 특히 통신 회사의 기업 네트워크, 직원 및 경영진을 표적으로 삼습니다.

APT3

다른 이름: UPS 팀

의심 국가: 중국

대상 부문: 우주 항공 및 방위, 건설 및 엔지니어링, 하이테크, 통신 및 운송

요약: FireEye가 APT3으로 추적하는 이 위협 그룹은 중국에 근거지를 두고 있으며 FireEye Threat Intelligence가 추적하는 위협 그룹 중 가장 정교한 공격을 구사합니다. 브라우저 기반 익스플로잇(예: Internet Explorer, Firefox 및 Adobe Flash Player)를 제로데이로 이용한 전력도 있습니다. 목표 호스트를 악용하는 데 성공하면 바로 인증 정보를 덤프하고 내부 이동을 통해 추가 호스트에 접근한 후 맞춤화된 백도어를 설치합니다. APT3의 명령 및 제어(Command and Control, CnC)는 캠페인 간에 겹치는 부분이 거의 없기 때문에 추적이 어렵습니다.

관련된 악성코드: SHOTPUT, COOKIECUTTER, SOGU

공격 경로: APT3에 사용되는 피싱 이메일은 그 특성이 일반적이며 대부분 스팸으로 나타납니다. Adobe Flash Player가 플래시 비디오(Flash Video, FLV) 파일을 구문 분석하는 동안 패치되지 않은 취약점이 공격에 악용되었습니다. 이 익스플로잇은 일반적인 벡터 손상 기술을 사용하여 주소 공간 레이아웃 임의 지정(Address Space Layout Randomization, ASLR)을 우회하고 반환 지향 프로그래밍(Return-Oriented Programming, ROP)을 사용하여 데이터 실행 방지(Data Execution Prevention, DEP)를 우회합니다. 이들은 ROP 기술을 교묘하게 조작하여 익스플로잇을 용이하게 하고 일부 ROP 탐지 기술을 회피합니다. 셸코드는 암호화 해제에 사용되는 키와 함께 압축된 Adobe Flash Player 익스플로잇 파일에 저장됩니다. 페이로드는 xor로 인코딩되어 이미지 안에 숨겨집니다.

APT1

다른 이름: 61398부대(Unit 61398), 코멘트 크루(Comment Crew)

의심 국가: 중국 인민해방군의 총참모부 3부 2국(군부대 번호인 61398번 부대로 널리 알려짐).

대상 부문: 정보 기술, 항공 우주, 행정, 위성 및 통신, 과학 연구 및 컨설팅, 에너지, 운송, 건설 및 제조, 엔지니어링 서비스, 하이테크 전자, 국제 조직, 법률 서비스, 미디어, 광고 및 엔터테인먼트, 네비게이션, 화학, 금융 서비스, 식품 및 농업, 의료, 금속 및 광업, 교육

요약: APT1은 최소 141개 조직으로부터 수백 테라바이트에 달하는 데이터를 체계적으로 훔쳤으며 수십여 조직의 데이터를 동시에 훔칠 수 있는 역량과 그 의도를 충분히 드러냈습니다. 이 그룹은 영어권 국가에서 다양한 산업에 종사하는 조직을 침해하는 데 주력합니다. APT1의 인프라 규모로 짐작컨데 이 그룹은 최소 수십 명, 최대 수백 명의 공격자를 보유한 대규모 조직인 것으로 여겨집니다.

관련된 악성코드: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

공격 경로: 최초 침해에서 가장 흔하게 목격된 방법은 스피어 피싱입니다. 이 스피어 피싱 이메일에는 악성 첨부 파일 또는 악성 파일에 대한 하이퍼링크가 포함됩니다. 제목 줄과 이메일 본문의 텍스트는 주로 수신인과 관련됩니다. APT1은 실제 사람의 이름을 사용하여 웹 메일 계정을 생성하기도 합니다. APT1 공격자는 Poison Ivy 및 Gh0st RAT 등 공개적으로 제공되는 백도어는 가끔 사용하며 대부분 자체적으로 맞춤 설계한 것으로 보이는 백도어를 사용합니다. 네트워크에 머무르는 기간(수년이 될 수도 있음) 동안 APT1은 환경에서 더 많은 시스템을 확보하기 위해 새로운 백도어를 설치합니다. 백도어 하나가 발견되고 삭제되면 다른 백도어를 계속해서 사용합니다. APT1가 몇 주 이상 상주하는 경우 피해자 네트워크의 곳곳에서 다수의 APT1 백도어군이 탐지되는 상황을 자주 볼 수 있습니다.

맺음말

본 문서가 정보를 제공하긴 하지만 의심되는 사이버 공격의 철저한 인텔리전스 수집 노력 및 조사를 대체할 수는 없습니다.

지난 10년간, FireEye는 세계 최대, 최고의 침해에 대응하는 데 연간 100,000시간 이상을 보냈습니다. 전 세계 6개의 보안 운영 센터(SOC)에서 수집된 심층적인 침해 사고 대응 경험을 선정하여, 1,100만 개 이상의 센서를 포함하며 60분마다 업데이트되는 자습 방식의 공생 보안 에코시스템으로 다시 보냅니다.

이 에코시스템의 지원을 받는 FireEye 전문가들은 30명 이상의 지능형 위협 공격자와 300개 이상의 지능형 악성코드군의 나날이 증가하는 컬렉션을 추적합니다. 또한 위협 스폰서 역할을 하는 10개 이상의 국가와 40개 이상의 표적 산업으로 구성된 프로파일을 유지하여 전 세계 사이버 위협의 금융 및 정치적 차원을 추적하고 분석합니다. FireEye 전문가들은 검증된 위협과 관련된 위험을 결정할 뿐만 아니라 위협이 환경에 침투하는 방법, 확산되는 방법, 위협에 대해 수행할 수 있는 작업과 수행해야 하는 작업도 결정할 수 있습니다. 이러한 통찰력은 상황 정보를 포함하는 인텔리전스로 제공되어, 고객 조직이 빠르게 우선 순위를 정하고 정교한 중요 위협에 효과적으로 대응하도록 돕습니다.

자세한 내용 보기: 위협 인텔리전스 보고서