교육 위협 인텔리전스

교육 산업을 표적으로 하는 사이버 위협

교육 산업은 다음과 같은 범죄자들이 유발하는 사이버 위협에 직면하고 있습니다.
  • 지능형 지속적 위협(APT)1 그룹은 경제적 또는 정치적 스파이 활동을 위해 대학교 연구 센터 등 중요한 지적 재산에 접근하려 시도합니다.
  • APT 그룹은 그들의 활동을 평판이 좋은 기관 네트워크에서 시작하는 경우 의심이 적을 것이라고 추정하여, 교육 기관 네트워크 인프라를 다른 산업들의 표적에 대한 활동 무대로 사용하려고 시도합니다.
  • 기업화된 사이버 범죄자들은 학생, 교수 및 교직원으로부터 민감한 개인 정보 및 재정 정보를 유출하여 이익을 얻으려고 합니다.
  • 핵티비스트들은 항의하는 방법으로, 또는 특정한 주장에 대해 주의를 환기하는 방법으로 웹사이트들의 외관을 손상하고 운영을 교란할 수 있습니다.
교육 사이버 위협 인텔리전스
위협 목표 및 산업 전망

교육 기관은 학교 네트워크에 저장된 가치 있는 정보와 위협 범죄자들이 네트워크 인프라를 사용하여 다른 표적에 대한 작업을 실행할 수 있도록 하는 기능으로 인해 지속적으로 사이버 위협에 직면합니다. 특히 대학 네트워크는 네트워크의 규모 및 사용자 수와 내부 및 외부 사용자의 정보 접속 및 공유 수요를 고려할 때 관리자가 효율적으로 보호하기 어렵습니다. 저희는 다음의 요인들이 이 부문에 대한 차후의 위협 활동에 영향을 미칠 가능성이 있다고 예상합니다.

  • 경제적 대가가 높을 가능성이 있는 연구 프로그램 참여 또는 중요한 정부 연구 계약 지원은 APT 그룹들이 자신들을 후원하는 정부 또는 관련된 정부 소유 회사에 이익이 되는 관련 인텔리전스를 검색할 때 표적이 될 확률이 높아집니다.
  • 중요하거나 영향력 있는 학문 또는 반체제 인사와 연관되는 경우 또한 자신들을 후원하는 정부가 개인의 행동을 감시하고 정치적 논의의 통찰력을 얻을 수 있도록 해주는 정보를 수집하려 하는 APT 그룹들로부터 위협 공격을 받기 쉽습니다.
  • 매우 널리 알려졌거나 상징적인 표적으로 알려진 역할은 정치적인 목적으로 웹사이트 또는 네트워크 운영을 방해하려는 핵티비스트 또는 APT 그룹들로부터 위협 범죄의 표적이 될 수 있습니다.
  • 논란이 되는 문제에 관여하는 것 또한 웹사이트 접속 방해, 웹페이지 외관 손상 또는 조직의 중요한 정보 유출 및 노출을 통해 피해 조직을 반대하고 당황하게 하려는 핵티비스트들로부터 위협 범죄의 표적이 될 수 있습니다.
저희는 최소한 8개의 지능형 위협 그룹이 다음의 소부문에서 회사들을 침해하는 것을 관찰했습니다.
  • 종합대학 및 단과대학
  • 교육 및 훈련 소프트웨어
  • 연구 기관
교육 기관으로부터 유출되는 데이터
  • 비즈니스 통신문
  • 비즈니스 문서
  • 직원 평가
  • 재무 문서
  • 보조금/장학금 문서
  • 산업 연구 및 뉴스
  • 청구서
  • 마케팅 자료
  • 회의 기록
  • 개인 신원 확인 가능 정보
  • 프로그램 및 이니셔티브
  • 공개 뉴스레터

사례연구: 대학 연구 기관을 표적으로 하는 중국 기반 위협 범죄자

FireEye는 두 곳의 미국 대학을 침해한 중국 기반 위협 그룹과 관련된 두 가지 침입을 조사했습니다. 이 위협 그룹은 처음에 대학 웹 서버 중 한 곳의 인증되지 않은 업로드 페이지에 악성 웹셸을 업로드하여 학교 중 한 곳에 접근할 수 있었습니다. 학교 네트워크에 침입한 후, 위협 범죄자들은 접근 권한을 확장하여 대학 간에 공유되는 웹서버의 인증을 얻었습니다. 그런 다음 위협 범죄자들은 웹서버 접근 권한을 이용하여 두 번째 대학의 네트워크를 침해했습니다. 위협 범죄자들은 대학의 중국 관련 학문 프로그램 및 연구 기관에 관심이 있는 것으로 보입니다.


교육 악성코드 및 크라임웨어

상위 악성코드 탐지

FireEye는 다음과 같은 종류의 악성코드를 가장 많이 사용하는 공격자들을 탐지하고 교육 산업 고객들에게 경보를 제공했습니다.

SOGU(별칭 Kaba, PlugX)는 파일 업로드 및 다운로드, 임의 프로세스 실행, 파일 시스템과 레지스트리 접근, 서비스 설정 접근, 원격 셸 접근을 수행할 능력이 있고, 맞춤형 VNC/RDP 같은 프로토콜을 구현하여 명령 및 제어(C2) 서버에게 데스크탑에 대한 그래픽 접근을 제공합니다.
위치코븐은 사이트 방문자의 운영 체제, 브라우저 및 애플리케이션에 대한 정보를 얻기 위한 프로파일링 스크립트 설계입니다. APT 범죄자는 이러한 스크립트를 이용하여 컴퓨터 시스템 및 이 시스템이 속한 조직을 프로파일링하기 위해 사용되는 기술 정보를 수집하는 풋프린팅을 시행합니다.
GH0STRAT는 공개적으로 사용 가능한 소스 코드로부터 추출되는 원격 접속 툴(RAT)입니다. 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
SPYNET는 공격자가 원격 셸을 통해서 침해된 시스템과 대화하고, 파일을 업로드 및 다운로드하고, 레지스트리와 대화하고, 프로세스 및 서비스를 시작 및 중지하는 것을 허용하는 공개적으로 사용 가능한 RAT입니다. 데스크탑의 이미지를 캡처하고, 웹캠 및 오디오 입력을 녹화 또는 녹음하고, 저장된 패스워드를 추출하고, 침해된 시스템을 프록시 서버로 전환할 수 있습니다. 또한 키로깅 기능과 안티디버깅/안티 가상 머신 방어 메커니즘이 있습니다.
PANDORA는 다중 스레드이며 여러 분석 방지 기술을 구현하고 UDP 및 TCP 모두를 통해 통신할 수 있는 백도어입니다. 자체 사본을 여러 개 생성하고 시스템 레지스트리의 'Run' 키에 나열된 실행 가능한 파일로 대체하여 지속성을 얻습니다. 이 백도어는 키로깅, 화면 캡처, 파일 조작 및 감염, 자체 업데이트, 기타 파일 다운로드 및 실행 기능이 있으며, 위협 범죄자가 시스템을 원격 제어할 수 있도록 해주지만 유명한 중국 안티바이러스 프로그램이 설치된 시스템에서는 실행되지 않습니다.

상위 크라임웨어 탐지

FireEye의 싱크홀과 동적으로 공유하는 위협 데이터는 다음과 같은 크라임웨어 변종들이 교육 산업에서 가장 흔히 탐지되었다는 것을 보여줍니다.

FAREIT(별칭 Pony Loader, InfoStealer)는 정보 유출 트로이 목마 바이러스로 감염된 시스템이 배포된 서비스 거부(DDoS) 공격에 참여하고 추가 악성코드를 다운로드하도록 할 수 있습니다.
Zeus(별칭 Zbot, Citadel, Gameover)는 주로 은행 인증 유출에 관여하도록 설계된 트로이 목마 바이러스군입니다. 매우 다양한 기능을 수행할 능력(셸 명령을 원격으로 실행할 능력 포함)이 있습니다.
Cryptowall(별칭 Crowti)는 피해자의 엔드포인트에서 파일을 암호화하고 C2 통신을 위해 어니언 라우터(TOR)를 사용하는 랜섬웨어입니다.
Simda는 인증 유출, 추가 파일 감염, 악성코드 다운로드, 감염된 시스템에서 백도어 열기 등의 기능이 있는 다목적 트로이 목마 바이러스입니다.
TREEMZ는 키스트로크를 기록할 수 있는 트로이 목마 바이러스입니다. 유명한 온라인 게임의 업데이트로 가장할 수 있습니다.

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.


상아탑 공격

사이버 공격자가 상위 교육 기관을 표적으로 삼는 이유와 대학에서 이에 대응하여 할 수 있는 일에 대해 알아보십시오.

백서를 다운로드하십시오

교육 산업을 표적으로 하는 사이버 위협

교육 산업을 표적으로 하는 사이버 위협을 이해하십시오.

보고서를 읽어보십시오