APT란?
APT(Advanced Persistent Threats)는 지능적 지속 위협으로, 새로운 보안 기술이 발명이 되면 해커들은 또 다른 새로운 기술을 이용하여 지속적으로 다양하게 공격을 시도하는 기법을 일컫는 용어입니다.
APT 공격 기법의 라이프 사이클
해당 이미지는 APT 공격이 이루어지는 방식의 라이프 사이클 입니다.
1. 정찰
공격 대상의 네트워크의 구성 및 환경을 파악한다.
2. 초기 침투 단계
정찰한 데이터를 기반으로 스피어 피싱 및 취약점을 스캔해 내부 침투를 시도한다.
*스피어 피싱 : 특정인을 표적으로 삼아 악성메일을 발송하고, 호스트 PC를 감염시키는 공격
3. 거점 확보
침투에 성공한 후 이를 지속하기 위하여 각종 tool 및 코드를 사용자에게 전달하여 설치 유도하고 거점 시스템을 확보합니다.
4. 권한 상승
내부 자료를 습득하기 위해 보다 높은 권한을 가진 사용자를 찾아 탈취한다.
5. 내부 정찰 단계
침투한 사용자와 같은 네트워크 망에 있는 다른 사용자들이 있는지 정찰 한다.
6. 목적 달성 단계
내부 문서 및 자료 탈취에 성공한다.
다양한 APT 공격 사례
벨기에, “중국 APT 단체가 국방부와 내무부 해킹했다” 주장
보안 블로그 시큐리티어페어즈에 의하면 벨기에의 국방부와 내무부가 중국 APT 단체의 공격에 당했다고 한다. 벨기에 외무부가 지목한 공격 단체는 APT27, APT30, APT31이다. 이러한 발표를 벨기에의 외무부가 했다는 건 중국 정부의 공식 대응이 있어야 한다는 뜻이다. 벨기에는 중국이 이러한 그룹들에 대한 조사를 진행하기를 요구한다는 의미에서 공식 외교 채널을 통해 사건을 공개했지만, 중국은 벨기에 주재 대사관을 통해 강력하게 부인하고 나섰다. 오히려 벨기에 외교부의 이러한 주장이 근거가 없고 매우 무책임한 비난이라고 비난했다... www.boannews.com
북한의 APT37, 체코와 폴란드의 주요 조직들 공격 시작
보안 업체 시큐로닉스(Securonix)가 새로운 공격 캠페인을 발견했다고 보안 전문 블로그 시큐리티어페어즈가 보도했다. 이 캠페인은 현재 스티프비존(STIFF#BIZON)이라는 이름으로 모니터링 되고 있다고 한다. 북한의 APT 단체인 APT37 혹은 리코쳇천리마(Ricochet Chollima)라는 그룹이 배후에 있는 것으로 보이며, 체코와 폴란드가 주요 공격 표적이 되고 있다. 공격자들은 북한 공격자들이 자주 사용하는 RAT인 콘니(Konni)를 사용하고 있다.
www.boannews.com
러시아 APT 해커들, 코로나를 미끼로 유럽 외교관들 노려
러시아의 APT 단체인 APT29가 유럽의 국가들을 공격했다는 사실이 드러났다. 주로 외교 관련 기관들과, 그 기관에 소속된 직원들이 공격 대상이었다고 한다. 지난 10월과 11월 사이에 집중적으로 코로나 관련 소식들을 미끼로 피싱 공격을 퍼부었다고 보안 업체 이셋(ESET)이 발표했다. 코발트 스트라이크 비컨(Cobalt Strike Beacon)을 피해자 시스템에 심고, 이 비컨으로 추가 멀웨어를 심어 여러 가지 공격을 실시한 것으로 보인다.
www.boannews.com
이렇게 정치, 외교, 금융, 스타트업 등 모든 분야에 관련하여 국가와 기업 등을 대상으로 한 APT 공격 사례가 다수 발생하고 있습니다. 떄문에 APT공격을 효과적으로 방어하기 위하여 어떤 보안 제품을 구입하고 어떻게 방어해야 할지 많은 국가와 기업에서 고심하고 있습니다.
APT 보안을 위해 나타난 Global APT 보안 선두 주자 Trellix
Trellix(구 FireEye)는 사이버 보안 공격을 조사하고 악성 소프트웨어로부터 보호하며 IT 보안 위험을 분석하기 위한 하드웨어 소프트웨어 및 서비스를 제공하는 회사입니다. 조사 : 네트워크 및 메일로 유입되는 악성코드들을 사전에 조사하여 악성인지 아닌지 분류 보호 : 알려진 또는 알려지지 않은 악성행위에 대해서 차단 및 탐지 분석 : APT탐지만을 위해 특화된 가상머신 MVX를 통해 빠르고 정확한 분석
다양한 보안 솔루션을 가지고 있는 Trellix
Trellix 는 네트워크 보안, 이메일 보안,엔드포인트 보안, 파일 보안 등 다양한 APT 보안 솔루션을 가지고 있으며 많은 Global 회사들이 사용하고 있습니다. NX : 네트워크를 통해 유입되는 지능형 공격 대응 솔루션 입니다. EX : 이메일을 통해 유입되는 지능형 공격 대응 솔루션 입니다. FX : 스토리지를 통해 유입되는 파일들에 대한 지능형 공격 대응 솔루션 입니다. CM : Trellix APT 장비들을 통합관리를 위한 솔루션 입니다. HX : 사용자 PC에 에이전트를 설치해 실시간 침해사고 대응 솔루션 입니다.
국내 유일한 1등 Trellix 파트너 다온기술
다온기술은 Trellix(구 FireEye)와 플래티넘 파트너 (최고등급) 를 맺은 회사이며 차별화된 기술력으로 고객과의 신뢰 및 만족도가 높으며 현재에도 많은 고객사가 찾고 있는 국내 1등 파트너사 입니다. 다온기술은 공공기관 및 대기업을 바탕으로 다양한 구축사례가 있으며 문제 및 문의가 있을시 즉각 조치하여 기술력과 신뢰도를 모두 만족하고 있습니다. 글. 허성민 엔지니어 _ 다온기술 편집. 엠버 / 마케터 _ 다온기술 다온기술에 문의하기 sales@daont.co.kr
