>
연구(Insikt)

2022년 상반기: 멀웨어 및 취약성 동향 보고서

게시일: 2022년 8월 25일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 2022년 1월 1일부터 6월 30일 사이에 주요 하드웨어 및 소프트웨어 공급업체가 공개한 멀웨어 사용, 배포, 개발 동향과 고위험 취약점을 조사합니다. 데이터는 Recorded Future® 플랫폼, 오픈소스 인텔리전스(OSINT), NVD 데이터에 대한 공개 보고에서 수집했습니다. 이 보고서는 위협 헌터와 보안 운영 센터(SOC) 팀이 이 연구와 데이터를 기반으로 헌팅 기술과 탐지 방법의 우선순위를 정하고 취약점 팀이 패치의 우선순위를 정하고 취약점 표적화 추세를 파악하는 방법을 모색하여 보안 태세를 강화하는 데 도움을 줄 것입니다.

Executive Summary

2022년 상반기 멀웨어 개발과 취약점 악용은 범죄 서비스, 익스플로잇 표적, 인프라 유지 관리, 운영 기간 등 여러 측면에서 끈질긴 공격으로 정의되었습니다. 대중과 범죄자들의 관심을 가장 많이 받은 멀웨어는 우크라이나를 표적으로 삼은 와이퍼, 초기 사라졌던 변종이 다시 등장한 인포스틸러, 전 세계 모든 분야에서 계속 피해를 입히고 있는 랜섬웨어 등이었습니다. 연초에 방어자들이 가장 주목한 취약점은 Log4Shell이었으며, 6월 말에는 매크로를 사용하지 않고도 악성 문서를 통해 익스플로잇할 수 있는 Follina 취약점이 향후 제로데이 익스플로잇의 방향을 제시했습니다.

2022년 상반기에 사이버 공격과 관련하여 가장 많이 언급된 멀웨어 변종은 코발트 스트라이크, 콘티 랜섬웨어, 페가수스, 데드볼트 랜섬웨어, 이모텟 등이었습니다. 코발트 스트라이크에 대한 언급이 다른 사이버 공격에 비해 월등히 높아, 여러 유형의 사이버 공격 캠페인에서 지속적으로 유행하고 있음을 보여주었습니다.

2022년 상반기에 사이버 공격과 관련하여 가장 많이 언급된 취약점은 Apache의 Log4J(Log4Shell), Microsoft Windows(Follina), Microsoft Exchange Server(ProxyShell), Atlassian의 Confluence 및 Java Spring 프레임워크에 영향을 미쳤습니다. 이러한 환경은 제로데이 익스플로잇과 알려진 취약점에 대한 지속적인 표적 공격을 모두 반영하며, Log4Shell 익스플로잇은 6월 말까지 관찰되었습니다.

2022년 상반기를 기준으로 한 2022년 하반기 전망은 랜섬웨어가 여전히 주요 위협으로 남아 있고(감소세는 늦었지만), 멀티팩터 인증(MFA)이 더욱 널리 확산되면서 범죄 환경의 여러 영역이 재편될 것이며, 러시아와 우크라이나의 전쟁으로 인해 해당 지역에서 새로운 멀웨어가 더욱 많이 발생할 가능성이 높다는 것입니다.

2022년 상반기를 정의하는 끈기

2022년 상반기의 멀웨어 개발 및 취약점 악용 환경을 요약하는 단어가 있다면 '끈질긴'이라는 단어가 거의 확실합니다. 우크라이나를 겨냥한 와이퍼 멀웨어의 대량 생성, 인기 있는 인포스틸러의 재등장, Log4Shell 및 ProxyShell과 같은 주요 취약성에 대한 지속적인 관심, 다른 랜섬웨어 운영을 지원하기 위한 Conti 랜섬웨어 그룹의 해체, (아직 사라지지 않은) Emotet 봇넷의 새로운 전술 등장, 주요 사이버 범죄 그룹 FIN7의 지속적인 전술 진화는 많은 위협이 일시적으로 사라지거나 변화할 수는 있지만 완전히 막기는 매우 어려운 지하 범죄 및 APT 위협 환경을 잘 보여줍니다. 2022년 상반기에는 직접적으로 해당되지 않지만, 가장 최신 버전의 랜섬웨어인 Lockbit 3.0의 출현은 이러한 위협 환경에 대한 전망을 더욱 뒷받침합니다.

위협 공격자들이 새로운 멀웨어나 취약점 익스플로잇에 의존하는 범죄 조직도 비슷한 수준의 끈기를 보이고 있습니다. 2022년 4월에 보고한 '얼굴 없는' 프록시 서비스는 2022년 상반기에 멀웨어와 취약점 전반에서 확인된 여러 측면, 즉 온라인 소매업체를 표적으로 삼도록 설계된 멀웨어, 원격 코드 실행(RCE) 및 제로데이 취약점에 대한 강조, 법 집행 조치, 브랜드 변경, 인프라 액세스 부족에도 살아남는 장기 범죄 활동과 관련되어 있습니다. 마찬가지로, 사법 당국에 의해 급습 포럼이 압수된 후 BreachForums가 생성된 것은 범죄 네트워크의 지속성과 지속적인 수요가 있는 경우 새로운 포럼이 폐쇄된 포럼을 쉽게 대체할 수 있다는 것을 보여줍니다.

아래 차트는 2022년 상반기에 보고된 사이버 공격과 관련하여 가장 많이 언급된 멀웨어 변종 및 취약점을 보여줍니다. 이는 레코디드 퓨처 플랫폼에서 수집한 사이버 공격 보고서에 나타난 멀웨어 개체 또는 취약성 개체에 대한 쿼리를 기반으로 합니다.

멀웨어 데이터 세트는 위협 행위자들이 명령 및 제어(C2) 인프라를 위해 코발트 스트라이크에 지속적으로 의존하고 있음을 잘 보여주지만, 가까운 시일 내에 펜테스팅 도구인 Brute Ratel C4로 더 큰 전환이 이루어질 수 있습니다. 그림 1에서 강조된 또 다른 트렌드는 지속적인 랜섬웨어 위협으로, 공격자들은 QNAP와 같은 특정 대상을 위한 새로운 랜섬웨어를 계속 개발하고 있습니다(DeadBolt의 경우).

H1-2022-멀웨어 및 취약성 동향 보고서-그림-1.png 그림 1: 보고된 사이버 공격에 가장 많이 언급된 멀웨어, 2022년 상반기(출처: Recorded Future)

그림 2에 요약된 취약성 데이터 세트는 사이버 범죄 및 APT 악용에서 Microsoft 취약성이 지속적으로 우세하다는 것을 강조합니다.

H1-2022-멀웨어 및 취약성 동향 보고서-그림-2.png 그림 2: 2022년 상반기 보고된 사이버 공격에 대한 가장 많은 언급에 나타난 취약점. 프록시셸에는 3가지 취약점(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)이 포함되어 있습니다. (출처: 레코딩된 미래)

멀웨어 보고의 최전선에 있는 와이퍼, 인포스틸러, 랜섬웨어

2022년 상반기에 새로운 멀웨어와 취약점 악용에 대한 논의의 가장 큰 동인 중 하나는 러시아의 우크라이나 침공과 이후 러시아가 우크라이나 표적을 방해하거나 민감한 우크라이나 데이터를 파괴하도록 지원하기 위해 고안된 것으로 보이는 사이버 위협 캠페인의 출현이었습니다. 특히, 이전 러시아 국가가 후원한 활동과 일치하는 9가지 변종 와이퍼 멀웨어가 공개된 것은 러시아 정부가 키네틱 공격과 사이버 공격을 모두 포함하여 이웃 국가에 대한 전쟁에 총체적으로 접근하고 있음을 보여주는 예시입니다. 이러한 추세는 또한 적대적인 정부가 주요 지정학적 표적에 대한 멀웨어를 개발하는 데 더 적은 시간과 자원을 사용하는 것으로 나타났습니다. 우크라이나에 배포된 9개의 와이퍼 멀웨어는 시간이 지남에 따라 점점 더 단순화되고 난독화가 줄어들고 변종 간의 단계가 줄어드는 등 진화하는 것으로 나타났습니다.

러시아 마켓과 같은 다크 웹 마켓플레이스에 지속적으로 유출된 데이터를 공급하는 악성코드는 피해 컴퓨터에서 민감한 데이터를 식별하고 유출하도록 설계된 인포스틸러입니다. 인기 있는 인포스틸러 멀웨어인 라쿤 스틸러가 2022년 3월 일시적으로 운영을 중단한 후, 많은 위협 공격자들이 라쿤 스틸러에서 Mars Stealer, 메타스틸러, BlackGuard, RedLine, Vidar와 같은 다른 인포스틸러 브랜드로 전환했습니다. 그러나 라쿤 스틸러 2.0은 2022년 상반기 말에 다시 등장하여 2019년 분석 당시 "언더그라운드 포럼에서 인기와 활동이 급증"했던 것처럼 다시 인기를 얻고 있음을 증명했습니다.

2022년 상반기 멀웨어 작전에서 가장 극적인 순간은 아마도 콘티 랜섬웨어의 운영자가 코스타리카 정부를 표적으로 삼고, 일련의 심각한 공격의 일환으로 정부를 "전복시키기로 결심했다"고 말한 후 개별 조직원들이 다른 랜섬웨어 조직을 지원할 수 있도록 해체를 위한 일환으로 그들의 갈취 웹사이트 인프라를 폐쇄한 때였을 것입니다. 콘티의 장난은 차치하더라도, 코스타리카의 주요 정부 서비스 중단은 2022년 상반기에 랜섬웨어 공격자들이 조직의 운영을 중단시킨 수많은 사례 중 하나이며, 가장 많이 활동한 공격자들은 LockBit 3.0 및 Hive 랜섬웨어 제품군을 배후에 둔 공격자들입니다.

콘티 갱의 허세를 닮은 금전적 동기를 가진 사이버 범죄 그룹 FIN7은 가짜 사이버 보안 회사인 바스티온 시큐어(Bastion Secure)를 만들어 카바낙과 같은 사후 익스플로잇 툴을 정보 기술(IT) 관리 및 보안 모니터링 툴인 것처럼 배포하는 데 사용한 것으로 Recorded Future는 확인했습니다. 이는 새로운 전술의 진화를 보여주는 한 가지 예입니다. 맨디언트는 FIN7의 활동에 대한 업데이트 보고서에서 이 그룹이 멀웨어를 난독화하기 위해 정크 문자열을 많이 사용한다고 지적했습니다. VBS 기반 페이로드인 LOADOUT 다운로더는 난독화를 위해 정크 코드(예: "FUCKAV" 문자열)를 사용했습니다. 또한 맨디언트는 FIN7이 공개 코드 분석 리포지토리를 사용하여 백신 엔진에서 로드아웃 버전이 인식되는지 테스트하고, 인식되는 경우 더 많은 정크 코드를 빠르게 추가하여 탐지를 피한다는 사실을 발견했습니다.

멀웨어 및 취약성 동향이 겹치는 가운데, 2022년 상반기 동안 여러 연구자들은 Linux 취약성 "Dirty Pipe"(CVE-2022-0847)의 악용을 포함하여 QNAP 네트워크 연결 스토리지(NAS) 장치를 좁게 표적으로 삼은 DeadBolt 랜섬웨어 운영자의 사이버 공격 캠페인을 보고했습니다. 더티 파이프가 처음 공개되었을 때, 이 로컬 권한 상승(LPE) Linux 취약점을 분석한 결과 여러 개념 증명(POC) 익스플로잇이 존재하여 수많은 위협 행위자가 쉽게 악용할 수 있는 것으로 나타났습니다. 일반적으로 Linux를 표적으로 삼는 랜섬웨어는 수년간 지속되어 온 트렌드로, 대량의 가상화 스토리지를 빠르게 공격하려는 사이버 범죄자들의 욕구를 반영하며, 이는 종종 Linux 기반 VMWare ESXi 하이퍼바이저에 의존합니다.

제로데이 익스플로잇 반년, Log4Shell과 Follina의 결산

2021년부터 2022년까지 사이버 보안과 관련하여 가장 많이 논의된 주제 중 하나는 로깅 유틸리티의 보편적인 사용으로 인해 수십만 개의 조직이 노출된 Apache의 Log4J 소프트웨어의 간단한 익스플로잇 취약점인 Log4Shell이었습니다. 최근 2022년 6월까지 사이버 공격자들이 Log4Shell을 악용한다는 소식이 계속 전해지고 있습니다. 또한, 여러 위협 행위자가 Microsoft Exchange에 영향을 미치는 ProxyShell로 알려진 이전 취약점 집합을 악용하는 위협도 계속되고 있습니다. 지난 몇 년간 취약점 연구를 통해 확인한 바와 같이, 사이버 범죄자들은 피해 시스템에 존재한다고 믿을 수 있는 소수의 알려진 취약점을 표적으로 삼는 것을 선호합니다.

기록된 미래 플랫폼에서 가장 높은 위험 점수를 받았으며 2022년 상반기에 공개된 취약점은 아래 표에 나와 있습니다. 이러한 취약점은 모두 오픈소스 보고 또는 내부 허니팟 추적을 통해 야생에서 익스플로잇된 것으로 확인되었습니다. 제품 관점에서 이 목록에서 가장 주목할 만한 점은 Linux에 영향을 미치는 취약점이 Microsoft의 취약점보다 더 많다는 것입니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

관련