동남아시아 지역 정부기관, 군사조직을 노린 지능형 공격이 발견됐다.
팔로알토네트웍스는 자사 보안정보팀인 '유닛42'를 통해 조사한 결과 일명 '로터스블로썸(Lotus Blossom)'이라고 불리는 공격을 확인했다고 1일 밝혔다.
이 공격은 최소 지난 3년 전부터 홍콩, 대만, 베트남, 필리핀, 인도네시아를 타깃으로 수행된 것으로 추정된다. 현재까지 확인 된 공격 건수는 50건을 상회한다. 모든 공격에는 자체 개발한 트로이 목마 악성코드인'엘리스(Elise)'를 사용했으며, 스피어피싱 이메일을 통해 타깃 시스템에 대한 거점을 확보하는 방식을 쓴 것으로 확인됐다.
팔로알토는 엘리스가 타깃 공격을 실행하는데 필요한 요건을 갖추었을 뿐만 아니라 타깃 공격과 관계가 없는 다른 공격에도 사용될 수 있도록 설계돼 있는 것으로 분석했다.
자체 제작한 툴과 광범위한 리소스들을 사용해 수 년간 지속되고 있는 이 공격은 조직적인 자금력을 배후에 두고 있을 가능성이 제기되고 있으며, 공격의 특징으로 미뤄 동남아 정부 및 군사조직과 외교적 이슈가 있는 국가의 지원을 받는 사이버 스파이의 소행으로 분석된다.
관련기사
- 팔로알토, 차세대보안플랫폼 출시2015.07.01
- 안드로이드 4.3 이하 버전 해킹에 취약2015.07.01
- 팔로알토, 방화벽 넘어 통합보안으로 확장2015.07.01
- 월드 랠리서 만난 현대차 vs 토요타…"여기선 빠른 제조사가 1위"2024.11.22
라이언 올슨 팔로알토네트웍스 유닛 42팀 인텔리전스 디렉터는 "로터스블로썸에서 사용하고 있는 트로이 목마의 백도어 및 취약성은 최신 기법을 쓴 것으로 보이지는 않지만 실제 공격이 이뤄졌거나 민감한 데이터에 접근하게 됐을때 이에 따른 영향은 치명적일 수 있다"고 밝혔다.
팔로알토는 사이버 위협 선제 방어를 위한 보안 인텔리전스 서비스인 '오토포커스(AutoFocus)'를 활용해 공격을 탐지했다. 오토포커스는 이 회사의 APT방어 및 대응 솔루션인 와일드파이어를 사용하는 6천여개 고객사와 다른 분석 자료들로부터 수집된 다양한 보안 사고들의 상관관계를 분석하고, 그 자료를 고객사에 제공한다.
