글로벌 사이버 위협 동향 (2019년 1분기)

  Microsoft - Security Intelligence Report(SIR) Vo.24

 

1) 가상 화폐 채굴 : 랜섬웨어보다 더 은밀하게, 돈은 더 많이!

• 공격자들은 백신 회사들의 탐지 기법으로 랜섬웨어 보다는 가상 화폐 채굴 프로그램을 선호
• 가상 화폐 채굴 프로그램은 피해자의 PC 또는 브라우저에 숨겨저 동작하는 종류로 나뉨
• 랜섬웨어 탐지 비율을 뚜렸한 하락세를 보임

2018년 랜섬웨어 탐지율

 

2) 클라우드 분야에서의 SW 공급망 공격의 심각성 확대

• 2018년도 발생한 클라우드, 서비스, 인프라 침해와 관련된 사고 발생
  • 구글 확장 프로그램 클릭 시 악성코드 다운로드
  • Docker Hub 에 업로드된 악성 이미지를 다수의 사용자가 다운로드 한 사고
• 해당 사고를 막기 위해선 클라우드, 오픈소스, 하드웨어 제작자들의 탐지 및 방어 노력 필요

 

3) 피싱 공격의 여전한 강세

• 제로데이 및 APT 공격은 위한 전제조건으로 피싱이 사용되지만 방어 기법이 정교해짐에 따라 공격자들은 단일 URL, IP 사용보다는 다양한 인프라와 공격 진입점, 공공 클라우드 인프라 등을 사용하여 탐지 회피

2018년 전반기 대비 후반기에 250% 증가

 

  Symantec - ISTR 24

1) 폼재킹 공격의 대두

• 가상 화폐 가치가 떨어지면서 크립토 재킹 보다는 악성 자바 스크립트를 이용해 고객 신용카드 정보를 빼내는 폼재킹 공격 방식이 증가

월평균 약 4,800개의 웹사이트가 폼재킹에 감염되었고 370만 공격시도가 차단됨

 

2) 크립토재킹과 랜섬웨어는 하락세지만 꾸준히 지속

• 가상 화폐 가치가 폭락하면서 크립토 재킹 공격은 2018년 1월 대비 2018년 12월에 52% 감소했으나 꾸준히 탐지
• 랜섬웨어 역시 20% 하락했으나 2018년 기업 대상 공격은 12% 증가
• 익스플로잇킷 기반 유포방식에서 이메일을 통한 랜섬웨어 유포로 트렌드가 바뀜

악성메일 탐지율 추이 및 랜섬웨어 탐지 비율

 

3) 표적 공격

• 온라인 판매자들이 사용하는 3rd party 서비스의 취약점을 노리는 공급망 공격은 2018년 78% 증가
• 이메일을 열람하면 파워쉘을 실행시켜 정상 프로세스에 악성코드를 심는 방식의 공격기법이 2017년 대비 1000% 증가

파워쉘 스크립트 공격 증가

 

 

  TrendMicro - Advanced Defenses for Advanced Email Threats

1) 주요 이메일 보안 위협 - 크리덴셜 피싱

가짜 office 365 로그인 양식을 이메일로 보내 피싱 사이트로 연결 유도하는 방식의 피싱 공격이 40% 증가

 

2) 주요 이메일 보안 위협 - BEC 공격

스푸핑된 이메일을 통해 부동산 거래 과정에서 가짜 계좌로의 입금 유도, 피해자게에 기프트 카드 구매 요구 등

전체 공격의 1% 정도에 해당하지만 피해핵은 125억 달러에 달함

※ BEC(Business Email Compromise) : 잘못된 송금을 유도하는 사이버 공격으로, 비즈니스 이메일 사기.

 

3) 주요 이메일 보안 위협 - 파일 남용 유형

탐지를 회피하기 위해 .ARJ .IQY 파일 같은 오래되거나 자주 사용하지 않는 확장자 파일에 백도어나 트로이 목마를 심는 방식으로 공격

 

4) 주요 이메일 보안 위협 - 악성코드 유포

IoT나 앱스토어를 통한 악성코드 유포가 늘어나고 있지만 악성 이메일을 통한 공격의 12%는 여전히 악성코드가 차지하고 있음

 

5) 대응 방안

과거의 이메일 기반으로 사용자의 작문 특성을 머신러닝으로 학습하여 의심되는 이메일과 비교하는 방법

AI와 컴퓨터 비전을 겹합하여 실시간으로 크리덴셜 피싱 시도 차단

 

참조 - KISA, 2019년 1분기 사이버 위협 동향 보고서