금융 서비스 및 보험 위협 인텔리전스

금융 서비스 및 보험 산업을 표적으로 하는 사이버 위협

금융 서비스 및 보험 부문에 속한 조직들은 다음과 같은 범죄자들이 유발하는 사이버 위협에 직면하고 있습니다.

  • 기업화된 사이버 범죄자들은 금전화할 수 있는 재정 계정 데이터 또는 다른 데이터를 입수하거나 새로운 방법으로 사기적 이체를 하려고 시도합니다.
  • 핵티비스트들은 정책 또는 활동을 반대하고 자신들의 입장을 선전하기 위한 수단으로 피해자를 당황시키기 위해 파괴적인 활동 및 노력합니다.
  • 지능형 지속적 위협(APT)1 그룹들은 자신들을 후원하는 정부에게 표적 회사의 운영 또는 잠재적으로 중요한 고객 정보에 대한 통찰력을 제공할 수 있는 인텔리전스를 수집하는 것을 목표로 합니다.
178084384
위협 목표 및 산업 전망

금융 서비스 및 보험 산업의 기업들은 사이버 공격자, 핵티비스트 및 APT 그룹에게 거의 확실히 주목 받는 표적으로 남을 것입니다.

다음의 요인들은 이 부문을 미래의 표적으로 삼는 것에 영향을 미칠 수도 있습니다.

  • 개인 금융 관리를 제공하는 소비자 서비스와 모바일 애플리케이션은 사이버 공격자가 그러한 제3자 애플리케이션이 많은 양의 인증을 저장하고 있으며 주요 소액 거래 은행에 비해 상대적으로 낮은 방어력을 갖고 있는 경우, 표적의 기회로 고려하므로 인증 유출을 위한 표적이 될 가능성이 있습니다.
  • 위협 범죄자들은 봇과 같은 일반적인 기존 감염을 활용하여 금융 서비스 부문의 고가치 피해자의 네트워크에 접속할 수 있습니다. 저희는 이전에 사이버 공격자들이 Citadel 감염을 활용하여 맞춤형 악성코드를 설치하고, 네트워크에서 내부로 이동하고, 금융 데이터를 유출하는 것을 본 적이 있습니다.
  • 그리고 알려진 논란들에 개입함으로써 그러한 문제들에 대한 주의를 환기하고, 책임이 있다고 생각하는 조직들을 당황하게 하려고 시도하는 핵티비스트들이 유발하는 위협 활동의 증가를 초래할 수도 있습니다. 그러나 핵티비스트들은 또한 해당 부문이 매우 쉽게 볼 수 있어서 자신들의 행동에 대한 주의를 끌 수 있는 최고의 플랫폼을 제공한다는 관점에서, 관련 없는 문제를 반대하기 위해서도 해당 부문을 표적으로 삼을 수 있습니다.
  • 국가 간의 긴장 또는 충돌의 증가는 관련된 APT 그룹들이 자신들의 정부에게 상대방에 대한 영향력을 제공하기 위한 목적으로 파괴적이거나 해로운 공격을 수행하는 반응을 보이도록 촉발할 수 있습니다.

 

저희는 최소한 15개의 지능형 위협 그룹이 다음의 소부문에서 조직들을 침해하는 것을 관찰했습니다.
  • 자산 관리
  • 현금 자동 입출금기(ATM) 사업자
  • ATM 및 기타 셀프서비스 터미널 제조
  • 은행 및 신용조합
  • 신용 조사 서비스
  • 전자 지불 시스템
  • 재무 설계사 및 투자 상담사
  • 금융 서비스, 법률 및 정부 소프트웨어
  • 금융 거래 처리
  • 기관 증권 중개업자
  • 보험 기관 및 중개업자
  • 투자회사
  • 모기지 은행
  • 재산/상해 보험업자
  • 벤처 캐피털
금융 서비스 및 보험 클라이언트로부터 유출되는 데이터:
 
  • 수당 기록
  • 사업 및 전략 계획과 목표
  • 직원 핸드북 및 정책
  • 직원 이력서
  • 직원 교육 자료
  • 이벤트 관련 자료
  • 재무 문서
  • 청구서
  • 조직도
  • 가격 책정 데이터
  • 상품 사용 설명서 및 교육 자료
  • 재발 보고서
  • 소프트웨어 설명 및 설정
  • 업무 기술서

사례연구: 사이버 범죄자들은 은행의 카드 관리 시스템을 침해합니다

FireEye는 공격자들이 위조 현금 카드를 사용하여 동유럽에 있는 ATM에서 무단 인출을 한 것을 발견한 은행에 대해 조사를 수행했습니다. 이 활동에 대한 책임이 있는 위협 범죄자들은 이 은행의 카드 관리 시스템과 소프트웨어를 침해한 후에 고객 계좌에서 150,000달러를 유출했거나, 이를 시도했습니다. 이들은 처음에 직원이 직원 시스템에 백도어를 설치하는브라우저 기반 익스플로잇을 호스팅하는 웹 사이트를 방문한 후 은행 네트워크를 침해했습니다. 위협 범죄자들은 직원의 합법적인 인증을 사용하여 카드 관리 시스템에 접근 권한을 얻었으며 여러 고객의 계좌에 기록된 잔액 및 인출 한도액을 늘렸습니다. 그 다음에, 사이버 범죄자들은 고객 계좌들에 대한 PIN을 변경했고, 합법적인 것처럼 보이는 인증을 사용하여 이러한 계좌로부터 최대 금액을 인출할 수 있었습니다.


top5-finance

상위 악성코드 탐지

위치코븐은 사이트 방문자의 운영 체제, 브라우저 및 애플리케이션에 대한 정보를 얻기 위한 프로파일링 스크립트 설계입니다. APT 범죄자는 이러한 스크립트를 이용하여 컴퓨터 시스템 및 이 시스템이 속한 조직을 프로파일링하기 위해 사용되는 기술 정보를 수집하는 풋프린팅을 시행합니다.
XtremeRAT는 공개적으로 사용 가능한 원격 접속 툴(RAT)로 파일을 업로드 및 다운로드하고, 윈도우즈 레지스트리와 대화하고, 프로세스와 서비스를 조작하고, 오디오와 비디오 같은 데이터를 캡처하는 능력이 있습니다.
GH0STRAT는 원격 접속 툴(RAT)로 공개적으로 사용 가능한 소스 코드로부터 추출됩니다. 이 악성코드는 화면과 오디오 캡처를 수행하고, 웹캠을 활성화하고, 프로세스를 열거 및 차단하고, 명령 셸을 열고, 이벤트 로그를 지우고, 파일을 작성, 조작, 삭제, 시작, 전송할 수 있습니다.
CANNONFODDER는 악성 마이크로소프트 워드 파일을 심고 인터넷 익스플로러, 모질라 파이어폭스 및 구글 크롬을 통해 인증 정보를 빼내는 인증 유출 툴입니다. 또한 키로거를 설치하고 인터랙티브 모드로 운영하여 공격자가 표적 시스템을 추가로 조사하고 데이터를 유출할 수 있습니다.
Hussarini는 중국에 거점을 둔 의심스러운 여러 APT 그룹에 의해 사용되는 완전한 특성을 갖춘 백도어입니다.

상위 크라임웨어 탐지

Upatre는 종종 스팸 이메일, 드라이브바이 다운로드 또는 익스플로잇을 통해 침입하는 트로이 목마 바이러스 다운로더이며, Upatre는 감염된 시스템에 하나 이상의 추가 악성코드를 다운로드합니다. Upatre는 Zbot, Dyre, Rovnix, CryptoLocker 및 Necurs를 포함하여 매우 다양한 악성코드를 배포하는 것으로 관찰되었습니다.
Ruskill는 사이버 범죄 포럼에서 판매되는 상업적 크라임웨어 키트이며, 배포된 서비스 거부(DDoS) 공격을 수행하기 위해 봇넷에서 구성된 침해된 엔드포인트를 제어하기 위해 사용될 수 있습니다.
Zeus(별칭 Zbot, Citadel, Gameover)는 주로 은행 인증 유출에 관여하도록 설계된 트로이 목마 바이러스군입니다. 매우 다양한 기능을 수행할 능력(셸 명령을 원격으로 실행할 능력 포함)이 있습니다.
Jenxcus(별칭 njw0rm, njworm)는 유명한 툴 njRAT의 진화된 버전으로, 이동식 드라이브 및 인증 유출을 통해 전파될 수 있습니다. 종종 이메일의 악성 링크 및 침해된 사이트의 드라이브바이 다운로드를 통해 전달됩니다.
Fareit는 정보를 유출하는 이 트로이 목마 바이러스이며, 감염된 시스템이 DDoS 공격에 참여하도록 만들고 추가 악성코드를 다운로드할 수 있습니다.

1 지능형 지속적 위협(APT) 공격자는 특정한 국가로부터 지시를 받아 정보를 유출하거나 네트워크 공격을 수행하고, 그들의 목표를 집요하게 추진하고, 다양한 툴과 전술을 사용할 능력이 있다고 평가됩니다.