글로벌 기업들이 겪는 베트남 진출의 위협 ‘APT32’
상태바
글로벌 기업들이 겪는 베트남 진출의 위협 ‘APT32’
  • 최진영 기자
  • 승인 2017.05.26 17:31
  • 댓글 0
이 기사를 공유합니다

파이어아이, 글로벌 기업 위협하는 APT32 동향 발표

[CCTV뉴스=최진영 기자] 파이어아이가 글로벌 기업을 위협하는 사이버 위협 그룹 ‘APT 32’에 대해 발표했다. APT32는 베트남 정부와 동일한 이해관계를 지닌 사이버 스파이 그룹이다.

파이어아이에 따르면 APT32가 기업들을 공격하는 동기는 다양하다. 베트남에 진출해 사업을 하고 있거나 투자 예정인 외국계 기업을 노리거나, 동남아시아와 전세계 공공 영역에서 진행되는 정치적 활동이나 언론의 자유에 지속적인 위협하는 것을 목표로 한다.

▲ APT32와 관련된 악성 매크로를 식별하기 위한 야라규칙.

파이어아이는 2014년부터 추적한 결과 APT32는 주로 베트남에서 제조, 소비재, 부동산(호텔, 숙박업) 사업과 관련된 해외 기업을 공격대상으로 삼아왔다.

2014년에는 베트남에 제조 시설을 건설하려던 유럽 기업이 침해 피해를 당했으며, 2016년에는 베트남 및 외국계 네트워크 보안, 기술 인프라, 금융, 미디어 부문의 기업들이 공격대상이 됐다.

2016년 중반부터는 베트남에서 사업 확장을 계획 중이던 글로벌 숙박 및 관광 개발 기업의 네트워크 에서 APT32의 특징적 멀웨어가 감지되기도 했으며, 미국과 필리핀 소비재 기업의 베트남지사가 APT32의 공격 대상이 됐다.

APT32가 산업계만 노린 것이 아니라, 베트남 자국의 이익과 관련해 해외 정부 기관, 반체제 인사, 언론인도 공격대상으로 삼아왔다.

2014년에 '베트남 대사관의 시위자 단속 계획'이라는 제목을 단 메일을 통해 스피어 피싱이 발견됐으며, 2015년에는 중국 보안 기업 치후360(Qihoo 360)의 산하 연구기관인 스카이아이 랩이 중국 공공과 민간 부문을 노린 공격에서 멀웨어가 사용됐다.

APT32의 공격 기법은 사회 공학적 기법을 활용해 피해자가 매크로를 활성화하도록 유도하는 특징이 있다. 일례로 피어 피싱 이메일을 통한 악성 코드 첨부 파일을 전달이 있다.

APT32는 공격대상을 향해 다국어로 쓰여진 미끼용 파일을 첨부한다. 사용자가 받는 파일은 확장자가 '.doc' 문서 파일이지만, 이 파일은 텍스트와 이미지를 포함한 웹 아카이브 파일로 실제 확장자가 '.mht'인 엑티브마임(ActiveMime) 파일이다.

초기침투 후 APT32는 정기적으로 이벤트 로그를 지우고 Invoke-Obfuscation 프레임워크를 사용해 파워쉘 기반 도구와 쉘코드 로더를 탐지하기 어렵도록 만들었다. 이후 백도어를 설치해 거점을 확보하고 여러 프로토콜에 맞춤형 백도어를 적용했다.

파이어아이는 “APT32는 맥OS용 백도어 개발도 가능하며 WINDSHIELD, KOMPROGO, SOUNDBIT 및 PHOREAL를 포함한 멀웨어 페이로드를 주력으로 사용하고 있다”라고 경고했다.

아울러 파이어아이는 APT32 추적에 다음과 같은 야라(Yara) 규칙을 사용했다. 이는 APT32와 관련된 악성 매크로를 식별하는 데 사용할 수 있다.

전수홍 파이어아이 코리아 지사장은 “다국적 기업을 타깃으로 한 APT32의 연이은 공격은 해외에서 비즈니스를 하는 한국기업에게 경각심을 불러 일으키는 계기가 되어야 할 것이다. 사이버 공격 능력을 가진 국가의 수가 증가하고 있기 때문에 기업들은 새로운 위험성에 대해 주의 깊게 고려해야 한다. 사이버 공격을 빠르게 탐지하고 대응하기 위해서는 기술뿐만 아니라 전문성과 위협 인텔리전스도 필요하다”라고 전했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.