금융기관, 연구소 등을 타깃으로 한 공격 캠페인

정보보안부는 사이버공간의 정보보안을 모니터링하는 과정에서 국가사이버보안감시센터(NCSC)가 APT 그룹인 미로페이스(MiroFace)가 수행한 사이버공격 캠페인과 관련된 정보를 발견하고 기록했다고 밝혔습니다.

APT MirrorFace는 금융 기관, 연구소, 제조업체를 표적으로 삼는 것으로 알려져 있습니다. 따라서 공격 그룹은 Array AG와 FortiGate 소프트웨어 제품의 정보 보안 취약점을 악용하여 NOOPDOOR 악성코드를 유포했습니다.

전문가에 따르면, NOOPDOOR 악성코드는 시스템의 합법적인 애플리케이션에 ".XML"과 ".DLL" 파일 형태의 두 가지 변종으로 설치됩니다. 두 변종 모두 공격자가 443번과 47000번 포트를 통해 연결하여 파일을 다운로드하고 명령을 실행할 수 있도록 허용합니다.

악성코드가 공개된 후, 공격자는 네트워크 시스템의 인증 정보 저장소에 접근하거나, 로컬 네트워크의 다른 기기에 악성코드를 확산시키거나, 사용자 정보를 모니터링하고 추출하는 등의 불법 행위를 수행했습니다.

또한 공격자는 타임스탬프 편집, 맬웨어가 특정 포트에 연결할 수 있도록 시스템 방화벽에 규칙 추가, 활성화된 서비스 숨기기 등 감지되지 않는 조치를 취했습니다.

이에 따라 정보보안부는 전국의 조직과 기업이 APT MirrorFace 그룹의 공격 캠페인으로 영향을 받을 수 있는 정보 시스템을 점검하고 검토할 것을 권고합니다. 동시에, 공격 위험을 예방하고 피하기 위해 이 공격 캠페인 관련 정보를 적극적으로 모니터링해야 합니다.

동시에 조직에서는 악용 및 사이버 공격의 징후를 감지하면 모니터링을 강화하고 대응 계획을 준비하라는 조언도 받습니다.

또한, 각 부대는 사이버 공격 위험을 신속하게 감지하기 위해 정보를 모니터링해야 합니다. 지원이 필요한 경우, 국가 사이버 보안 모니터링 센터(02432091616)에 연락하거나 [email protected]으로 이메일을 보내주시기 바랍니다.