티스토리 뷰

 

 일본서버호스팅

 일본서버호스팅

 

트로이 목마를 통해 금융기관을 노리는 새로운 표적 공격 'Silence'를 Kaspersky Lab 전문가가 발견했습니다.

처음에  피해를 입은 것은 러시아 은행이지만, 말레이시아와 미국의 여러 조직이 감염되었습니다.

 

전술적으로는 금융계 APT 활동의 표준이라고도 할 수있는 악명 높은 Carbanak와 매우 비슷합니다.

Carbanak는 은행 및 금융 기관의 직원 앞으로 악성 첨부 파일을 피싱 이메일로 보내고,

직원을 스파이로 이용해 부정한 거래를 실행합니다.

이 수법은 이미 10억 달러의 수익을 가져온 것이기 때문에, 사용할 수 밖에 없을 것 입니다.

 

그러나 이번 공격자는 피싱 메일의 정확도를 높였습니다.

조직의 인프라에 감염시켜, 확실하게 침입할 수 있는지 확인하면 은행의 파트너 "계약서"메일을 보냅니다.

표적이 되는 사람이 받는 메일은 실제 은행에 근무하는 사람의 피싱 메일입니다.

이렇게하면 악성 첨부 파일을 클릭할 가능성이 현격히 오릅니다.

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

 

 일본서버호스팅

Silence의 구조

 

표적이 된 금융 기관의 직원 앞으로 보낸 "계약서" 메일은 ".chm"확장자의 Microsoft 도움말 파일입니다.

포함된 HTML 파일에는 드로퍼 (소프트웨어를 비밀리에 다운로드하는 악성 코드)을 다운로드하고 실행하는

악성 JavaScript 코드가 포함되어 있으며, 그 스포이드를 Windows 서비스로 실행하는 트로이 목마

Silence 모듈 군을 다운로드합니다.

모듈 군을 조사한 결과, 제어 및 모니터링을 담당하는 모듈과 화면을 기록하는 모듈 지령 서버와 통신 모듈,

또한 콘솔 명령을 원격으로 실행하기 위한 프로그램도 있었습니다.

 

이 모듈을 사용하여 공격자는 감염된 네트워크에 대한 정보를 수집하고 직원의 단말기 화면을 기록합니다.

처음에는 모두를 감시하지만, 그 후에는 유익한 금융 정보를 보유하고 있을 것 같은 직원의 모니터링으로

이동합니다.

그리고 표적 정보 시스템의 구조를 충분히 파악한 후에 공격자의 은행 계좌로 송금을 시작합니다.

 

기술적인 세부 사항과 IOC 내용은 Securelist 기사 (영문)를 참조하십시오.

 일본서버호스팅

 

Silence의 공격으로부터 기업을 보호하는 방법

 일본서버호스팅

여기까지 봐 온 것처럼 외부에서 보내온 메일의 첨부 파일을 열지 않도록 직원에 주의하는 것만으로는

충분한 대책이되지 않습니다.

금융 기관이 최신 사이버 위협으로부터 자신을 보호하기 위해서는 다음과 같은 조치사항을 권장합니다.

 일본서버호스팅

● 교육 강좌 및 워크숍을 개최하고 직원의 의식 향상을 도모합니다.

이 위협에 대해 공격 시뮬레이션을 통한 실질적인 연습 또는 교육 강좌를 통해 직원의 실천력 향상을

지원하도록 하여야합니다.

 일본서버호스팅
● 네트워크의 이상을 깊은 수준에서 감지하는 제품을 사용합니다.

예를들면 "Kaspersky Anti Targeted Attack"과 같은 제품이 있습니다. 

이 보안 솔루션은 미지의 수법을 채용하고 있는 표적 공격도 탐지할 수 있습니다.

 

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

 

 

댓글
댓글쓰기 폼