엔터테인먼트 및 미디어 위협 인텔리전스

엔터테인먼트 및 미디어 산업을 표적으로 하는 사이버 위협

엔터테인먼트 및 미디어 회사는 다음과 같은 위협 범죄자들이 유발하는 사이버 위협에 직면하고 있습니다.
  • 미디어 조직의 보도 활동과 관련된 정보(직원, 출처, 지역 파트너십, 예상되는 공개, 일반적인 국가 운영, 특정한 연구 분야 포함)를 유출함으로써 국가 이미지를 관리하는 것과 관련하여 후원 국가의 정부를 지원하는 지능형 지속적 위협(APT)1 그룹.
  • 경제 스파이 활동에 관여하여 다른 회사들의 인수, 합병 또는 분할, 고급 생산을 위한 기술 또는 과정, 창의적인 지적 재산과 관련된 데이터의 유출을 통해서 후원 국가의 엔터테인먼트 및 미디어 회사들에게 경쟁 우위를 제공하려는 APT 그룹.
  • 자신의 주장을 홍보하거나, 또는 정치적으로 민감하거나 논란이 있다고 생각하는 내용의 전파를 억제하여 피해자 회사를 교란하려고 시도하는 핵티비스트와 APT 그룹. APT 그룹들은 피해 회사를 표적으로 할 때 독립적인 핵티비스트 그룹인 척 하면서 그들을 후원하는 정부의 신원을 감추려고 할 수 있습니다.
  • 게임 산업의 표적화 및 계정 인증, 활성화 코드, 인게임 밸류어블, 개인 신원 확인 가능 정보(PII)의 유출을 통해서 개인의 이익을 추구하는 기업화된 사이버 범죄자.
엔터테인먼트 및 미디어 사이버 위협
위협 목표 및 산업 전망

엔터테인먼트 및 미디어 산업은 여론과 국가 이미지까지도 형성하는 주요한 역할을 하여, 사회에 영향력을 미치려는 APT 그룹과 핵티비스트들의 중요한 표적이 됩니다.

다음의 요인들은 이 부문에 대한 위협 활동에 추가로 영향을 미칠 수 있습니다.

  • 국내 안정성 및 정부 합법성에 대한 우려는 APT 그룹과 연계된 정부가 여론을 청취하고, 이미지를 형성하고, 메시지를 전달하고, 또한 달리 소프트 파워를 강화하여 영향력을 유지 및 전파하는 것을 지원하려고 시도하는 이 그룹으로부터 표적화의 증가를 초래할 가능성이 있습니다.
  • 논란이 되는 이야기 및 견해가 게시되지 않도록 하기 위해 몇몇 위협 범죄자들은 관련 미디어 조직의 초기 보고에 접근하고 그 보고의 출처에 대한 정보를 구하려고 시도할 수 있습니다. 예를 들면, 특정 이야기를 숨기려는 목적을 가진 국가의 후원을 받는 위협 범죄자는 그 주제에 대해 보고하는 미디어 조직을 표적으로 삼아 그 조직이 문제에 대해 무엇을 알고 있으며 정보의 출처가 어디인지 확인하려 할 수 있습니다.
  • 비판적이거나 있는 그대로의 이야기를 게시하는 미디어 조직을 협박하거나 응징하기 위해 위협 범죄자는 해당 미디어 조직을 표적으로 삼아 보복할 수도 있습니다. 위협 범죄자는 그 조직을 협박하거나 감시하기 위해 직원 및 출처에 대한 정보를 유출할 수 있습니다. 또한 위협 범죄자는 표적이 된 조직을 난처하게 만들고 신뢰도를 손상시키기 위해 민감한 정보를 유출하여 공개하려 할 수도 있습니다.
  • 적대자(국가 또는 비국가 여부를 막론하고) 사이의 긴장 또는 충돌은 이와 관련된 위협 범죄자들의 위협 활동 증가를 유도할 것이고, 이러한 범죄자들은 적대자가 자체적으로 메시지나 선전을 전파하는 것을 방지하는 것을 목표로 하거나, 적대자의 채널을 통해서 그들 자신의 선전을 전파하려고 시도할 가능성이 있습니다.
  • 소셜 미디어의 인기와 사용의 증가는 사회 공학을 통해서 추가 표적을 정하고, 서비스의 교란이나 웹페이지의 외관 손상을 통해서 그들의 견해를 주장하는 것을 목표로 하는 APT 그룹, 사이버 범죄자, 핵티비스트들이 소셜 미디어 제공자들과 플랫폼을 지속적으로 표적화할 가능성이 있습니다.
저희는 최소한 17개의 지능형 위협 그룹이 다음의 소부문에서 회사들을 침해하는 것을 관찰했습니다.
  • 엔터테인먼트 및 게임 소프트웨어
  • 다양화된 엔터테인먼트
  • 정보 수집 및 전달
  • 인터넷 출판, 방송 및 검색 포털
  • 잡지사
  • 멀티미디어, 그래픽 및 출판 소프트웨어
  • 신문사
  • 텔레비전 방송국 그룹
엔터테인먼트 및 미디어 회사로부터 유출되는 데이터
  • 주소록
  • 일정표 파일
  • 실행 통신
  • 협상 정보
  • 네트워크 인프라 문서
  • PR 및 마케팅 자료
  • 기자의 통신
  • 사용자 인증

사례연구: 프랑스 미디어 회사를 표적으로 한 위장 운영 혐의가 있는 APT28

2015년 4월, 위협 범죄자들이 국제적인 시청자를 보유한 프랑스 뉴스 방송국인 TV5 Monde를 침해했습니다. 범죄자들은 장비를 손상시키고 몇 시간 동안 방송을 방해하고 ISIS 및 ISIS와 연관된 것으로 알려진 핵티비스트 그룹 CyberCaliphate 관련 선전으로 회사 웹사이트 및 소셜 미디어 계정의 외관을 손상시켰습니다. 그러나 이 범죄는 처음에는 CyberCaliphate의 소행인 것처럼 보였지만 FireEye 위협 인텔리전스는 러시아 정부와 연관된 그룹 APT28이 범인일 것으로 의심했습니다. APT28은 몇달 전 Charlie Hebdo 공격의 영향으로 높아진 이슬람 과격주의에 대한 서구 사회의 공포를 이용하기 위해 CyberCaliphate로 위장했을 것입니다. TV5 Monde 침입은 나머지 서구 국가들과 마찬가지로 러시아와 관계가 소원해지고 있는 프랑스에 경고하고, 서구 국가들의 관심을 우크라이나 위기에 대한 러시아의 지속적인 역할에서 중동의 테러리즘 위협으로 돌리기 위한 러시아 정보 운영일 가능성이 높습니다.



APT28: 러시아의 사이버 스파이 작전을 확인할 기회

러시아 공격 그룹이 어떻게 정부, 군사 및 보안 조직 관련 내부자 정보를 표적으로 했는지 밝히는 보고서입니다.

보고서를 다운로드하십시오


사이버 위협 엔터테인먼트 산업


톱 5 악성코드군

FireEye는 위협 범죄자들이 다음과 같은 표적 악성코드군을 사용하여 엔터테인먼트 및 미디어 부문의 조직들을 침해하는 것을 가장 자주 탐지했습니다.

ChinaChopper는 인증을 위한 단순한 암호를 사용하여 위협 범죄자들이 정보 시스템에 무단 접속할 수 있도록 해주는 작은 웹셸로, HTTP POST 명령 내에서 마이크로소프트 .NET 코드를 실행할 수 있습니다.
SOGU(별칭 Kaba, PlugX)는 파일 업로드 및 다운로드, 임의 프로세스 실행, 파일 시스템과 레지스트리 접근, 서비스 설정 접근, 원격 셸 접근을 수행할 능력이 있고, 맞춤형 VNC/RDP 같은 프로토콜을 구현하여 명령 및 제어(C2) 서버에게 데스크탑에 대한 그래픽 접근을 제공하는 백도어입니다.
GH0STRAT는 공개적으로 사용 가능한 소스 코드로부터 추출되는 원격 접속 툴(RAT)입니다. 이 악성코드는 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
POISONIVY는 침해된 시스템에 대해 종합적인 원격 접속 능력을 제공하는 공개적으로 사용 가능한 원격 관리 툴(RAT)입니다. 이 변종은 온라인에서 사용 가능한 그래픽 Poison Ivy 관리 인터페이스를 사용하여 설정, 구축 및 제어됩니다. 이것은 셸코드를 생성하도록 설정할 수 있고, 셸코드는 패키지로 실행 가능 파일에 전달되거나 기존의 실행 가능 파일과 통합되어 이 악성코드의 존재를 숨길 수 있습니다. 보통 다수의 셸코드 스텁을 explorer.exe 프로세스로 주입하도록 설정됩니다.
Page(별칭 ELISE)는 사전 설정된 명령 및 제어 서버에서 암호화된 DLL을 검색하려고 시도하고, HTTP 요청을 사용하여 통신하는 다운로더입니다. DLL이 다운로드되면 이 다운로더가 메모리로 로드합니다. 또한 몇 개의 소스 레벨의 안티리버스 엔지니어링 기능을 통합합니다.

톱 5 크라임웨어군

FireEye의 싱크홀과 동적으로 공유하는 위협 데이터는 다음과 같은 크라임웨어 변종들이 엔터테인먼트 및 미디어 부문에서 가장 흔히 탐지되었다는 것을 보여줍니다.

Upatre는 종종 스팸 이메일, 드라이브바이 다운로드 또는 익스플로잇을 통해 침입하는 트로이  목마 다운로더입니다. Upatre는 한 가지 이상의 추가 악성코드를 감염된 시스템으로 다운로드하며 Zbot, Dyre, Rovnix, CryptoLocker 및 Necurs를 포함하여 다양한 악성코드를 배포하는 것으로 관찰되었습니다.
Delf는 파일이 델파이로 컴파일되어 있는 트로이 목마 바이러스군입니다. 사용자의 동의 없이 또는 사용자가 알지 못하는 사이에 시스템에 추가 악성코드를 다운로드 및 설치하기 위해 원격 서버에 연결하고 중요한 정보를 유출할 수 있습니다.
ZeroAccess(별칭 SIREFEF)는 고급 루트킷 능력이 있는 트로이 목마 바이러스입니다. 초기에 다른 종류의 악성 소프트웨어에 사용하는 전달 메커니즘으로 개발된 이 바이러스는 클릭 사기를 수행하기 위해 아키텍처를 변경했습니다.
Allaple는 특정 표적에 대해 서비스 거부 공격을 수행하고 동일한 네트워크에 있는 다른 시스템에 전파하려 시도하는 웜입니다.
Muxif는 시스템 정보를 보내고, 지시를 받고, 추가 악성 실행 파일을 다운로드하기 위해 C2 서버와 통신하는 트로이 목마 바이러스 다운로더입니다. 또한 지속성을 유지하기 위해 레지스트리를 수정합니다.

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.