로그프레소가 글로벌 진출 기업의 보안지원을 위해 글로벌 해커조직 머스탱 판다의 APT 공격 사례 분석해 발표했다.
로그프레소(대표 양봉열)가 ‘2024년 7월 사이버위협 인텔리전스(CTI) 월간 리포트’를 발행했다고 18일 밝혔다.
CTI는 사이버 공격 관련 정보를 수집하고 분석해 사이버 위협에 신속하고 정확하게 대응하고자 가공한 정보다. 로그프레소는 고객들이 사이버 대응 전략 수립할 수 있도록 발생 가능한 위협과 사례를 분석해 매월 CTI 리포트로 공유하고 있다.
로그프레소는 지난 달 수집한 데이터를 기반으로 7월 CTI 리포트를 작성했으며, 베트남을 대상으로 한 머스탱 판다의 APT 공격 사례를 집중 분석해 공개했다. 최근 CTI 리포트에서 아시아 국가를 대상으로 하는 사이버 공격의 양상을 집중적으로 다루고 있으며, 일본과 대만, 인도에 이어 베트남을 네 번째 지역으로 선정했다.
머스탱 판다는 중국을 기반으로 하는 위협그룹으로 중국의 반정부 종교단체와 아시아 정부기관, NGO, 언론사를 대상으로 많은 공격을 시도하고 있다. 공격 대상의 언어를 이용해 정부기관을 사칭하거나, 코로나19와 러시아-우크라이나 분쟁 등의 주요 국제 사건을 활용해 스피어 피싱을 진행하는 것으로 악명 높다.
머스탱 판다는 베트남을 겨냥한 최근 두 차례 공격에서 영어 프로그램 안내문과 세금 관련 공문으로 위장하여 악성코드 실행을 유도했다. 이들은 정상 프로그램이 악성코드를 실행하도록 유도하는 DLL 사이드 로딩(Side-Loading) 기법을 활용해 PC를 장악한 후 중요 문서를 주기적으로 유출하고, 키로깅으로 문서 암호와 계정 암호 등 사용자의 중요 정보를 유출했다.
또한 로그프레소는 베트남 사용자의 크리덴셜 유출 정보 약 8억9천 건을 수집해 악성 봇 감염 실태를 분석했다. 베트남의 경우, 다른 국가에 비해 민간 서비스에서의 계정정보 유출이 전체의 96% 가량을 차지하며 높은 비중을 보였다.
공공 분야에서는 서비스 관리자로 추정되는 다수의 계정정보가 유출된 것을 확인했으며, 대부분의 관리자 페이지가 일원화돼있어 공격자가 관리자 페이지를 추측하고 크리덴셜 스터핑 공격을 감행할 수 있는 취약점을 분석했다.
관련기사
- 로그프레소-후이즈XML API, 피싱 도메인 사전 차단나서2024.06.07
- 韓 자동차 부품 기업, 랜섬웨어 공격에 핵심 자산 유출됐다2024.05.27
- 로그 데이터 수집해 보안 위협 대처 인사이트로 만든다2024.03.27
- 가짜 웹사이트 공격, '네이버' 사칭 가장 많아..."한달 간 695건 적발"2024.03.26
이 외에도 로그프레소 CTI 리포트 7월호는 ▲카카오톡 계정 탈취 취약점 ▲스노우플레이크 사용자 크리덴셜 및 데이터 탈취 ▲뉴욕타임즈 깃허브 데이터 유출 ▲개인정보 유출 공공기관 역대 최다 발생 ▲북한 해커와 연관된 신규 맥OS 백도어 등 다양한 내용을 포함하고 있다.
장상근 로그프레소 연구소장은 “삼성전자, LG전자, 현대자동차 등 국내 굴지 기업들의 공장이 위치하고 있는 베트남은 한국과 경제적으로 긴밀한 관계를 맺고 있다”며 “많은 기업들이 진출해있는 해외에서 발생한 사이버 공격은 한국 업체에도 큰 피해를 줄 수 있으므로 지속적으로 모니터링하고, 주의를 기울여야 한다”라고 설명했다.
