2020.05.20

코비드-19 노린 공격 기승··· CSO가 사용자 보호하는 4가지 방법

Susan Bradley | CSO
재택근무로 인한 원격 사용자가 특히 코로나바이러스를 주제로 한 피싱 시도, 악성 도메인, 용도 변경 악성코드에 취약한 것으로 파악됐다.
 
ⓒDreamstime

공격자들은 이 위기의 시기를 목표로 하는 캠페인으로 희생자들을 찾고 있다. 가장 큰 위협은 코비드-19와 관련된 피싱 공격이다. 또한 공격자들은 코비드-19 관련 도메인 이름을 설정하고 사람들이 클릭하도록 유도한다.

아노말리(Anomali)는 최근 39개의 서로 다른 악성코드군을 배포하고 80개의 MITER ATT&CK 기술을 사용하는 11명의 위협 행위자와 관련한 15가지 이상의 코로나바이러스 관련 캠페인을 식별한 보고서를 발표했다.

1월에 있었던 공격은 일반적으로 복지 제공 업체와 공중 보건 부문의 알림으로 보이는 악성 이메일이었다. 2월에는 공격이 원격 접근 트로이 목마(RATS)로 바뀌었다.

체크포인트는 3월에 사기성 코비드-19를 주제로 한 도메인이 증가했다고 보고했다. 3월 중순, 연구원들은 공격자들이 존스홉킨스 코로나바이러스 맵을 모방하고 있다고 지적했다.

최근 마이크로소프트는 모니터링하는 네트워크에서 몇 가지 테마 공격 경향을 발견했으며 모든 나라들이 중국, 미국, 러시아에 대해 가장 큰 표적이 되는 하나 이상의 전염병 테마 위협을 주목하고 있다고 전했다.

또한 트릭봇(Trickbot)과 에모넷(Emotet) 악성코드는 코비드-19 관련 악성 첨부 파일이나 악성 URL을 포함해 약 6만 개의 이메일과 함께 다양한 미끼를 재사용함으로써 위협을 이용하기 위해 다시 번들링하고 브랜드를 변경한다.

공격자들은 공식 조직을 사칭해 사용자가 받은 편지함에 들어오게 하고 스마트스크린(SmartScreen)은 1만 8,000개 이상의 악성 코비드-19 주제 URL과 IP 주소를 추적했다.

마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용하여 자격 증명을 수집하려는 대규모 피싱 공격을 방지했다. 또한 공격자는 건강관리 사업을 겨냥해 마이크로소프트가 의료 서비스 제공 업체와 인권 및 인도주의 조직에 무료로 어카운트가드(AccountGuard) 위협 알림 서비스를 제공하도록 촉구했다.

피시랩(Phishlabs)은 사이버 범죄자가 코비드-19 관련 음성 메일 알림을 사용해 사람들이 로그인하고 자격 증명을 훔치도록 속이는 것으로 보고했다. 트러스트웨이브(Trustwave)는 코비드-19를 주제로 한 비즈니스 이메일 침해(BEC) 사기가 증가하고 있다고 보고했다. 영국의 NCSC(National Cyber Security Center)는 공격자가 원격 접근 및 재택 사용자 진입점을 목표로 삼는 것으로 나타났다. 

코비드 관련 공격으로부터 원격 직원 보호
CSO는 직원과 회사 네트워크가 공격 대상이 되지 않게 하기 위해 어떤 조치를 취할 수 있는 4가지 방법은 다음과 같다. 

엔드 포인트 보호 : 윈도우 10 E5 라이선스나 마이크로소프트 365 엔터프라이즈 라이선스 또는 타사 엔드포인트 보호 도구와 함께 제공되는 마이크로소프트 디펜더 ATP를 활성화하라. 여기에는 가정용 기기가 포함된다.

온라인 익스체인지 및 이메일에 다중 인증(MFA) 사용 : 마이크로소프트는 최근 코비드-19가 조직에 미치는 영향으로 인해 기본 동의를 사용하지 않도록 결정했다. 공격자는 오피스 365 대상에서 POP, IMAP 및 기본 인증을 따른다. 암호 스프레이 공격과 암호 재사용을 사용하여 네트워크에 침입한다.

이는 CSO가 기본 또는 기존 인증을 비활성화하고 최신 인증을 지원해야 하는 이유다. 또한 보안 임원은 조건부 접근 정책을 사용해 오래된 취약한 인증 방법을 차단해야 한다.

이메일에 MFA가 있으면 공격자는 조직에 대한 쉬운 공격을 사용할 수 없다. CSO는 사무실 위치의 고정 IP 주소에서 로그인하는 모든 사람에게 MFA 프롬프트가 표시되지 않도록 하는 규칙을 설정할 수 있으므로 이 보호 기능은 공격자가 가장 많이 겨냥하는 원격 진입점에 집중된다. 또한 보안 임원은 네트워크를 좀더 잘 보호하기 위해 조건부 접근 규칙을 통해 지리적 로그인 제한을 추가하는 것을 고려해야 한다.

내부 사서함과 외부 환경 간에 이메일 필터링 또는 위생 유지 : 오피스 ATP든 다른 필터링 서비스든, 기업은 점점 더 큰 대상 공격 영역인 받은편지함의 피싱 공격을 보호하고 있는지 확인하라.

통찰을 배우고 공유하기 위해 다른 리소스에 접근 : 보안 연구원 그룹이 코비드-19 사이버 위협 연합(Covid-19 Cyber Threat Coalition)의 기치 아래에서 위험과 위협을 공유하기 위해 협력했다. 매주 요약을 검토하거나 슬랙 채널에 가입해 정보와 리소스를 공유하라.

이 연합은 CSO가 네트워크 방화벽 규칙에서 사용할 수 있는 악성 도메인 및 URL의 마스터 목록을 아래와 같이 제공했다. 
 
ⓒSusan Bradley
ciokr@idg.co.kr



2020.05.20

코비드-19 노린 공격 기승··· CSO가 사용자 보호하는 4가지 방법

Susan Bradley | CSO
재택근무로 인한 원격 사용자가 특히 코로나바이러스를 주제로 한 피싱 시도, 악성 도메인, 용도 변경 악성코드에 취약한 것으로 파악됐다.
 
ⓒDreamstime

공격자들은 이 위기의 시기를 목표로 하는 캠페인으로 희생자들을 찾고 있다. 가장 큰 위협은 코비드-19와 관련된 피싱 공격이다. 또한 공격자들은 코비드-19 관련 도메인 이름을 설정하고 사람들이 클릭하도록 유도한다.

아노말리(Anomali)는 최근 39개의 서로 다른 악성코드군을 배포하고 80개의 MITER ATT&CK 기술을 사용하는 11명의 위협 행위자와 관련한 15가지 이상의 코로나바이러스 관련 캠페인을 식별한 보고서를 발표했다.

1월에 있었던 공격은 일반적으로 복지 제공 업체와 공중 보건 부문의 알림으로 보이는 악성 이메일이었다. 2월에는 공격이 원격 접근 트로이 목마(RATS)로 바뀌었다.

체크포인트는 3월에 사기성 코비드-19를 주제로 한 도메인이 증가했다고 보고했다. 3월 중순, 연구원들은 공격자들이 존스홉킨스 코로나바이러스 맵을 모방하고 있다고 지적했다.

최근 마이크로소프트는 모니터링하는 네트워크에서 몇 가지 테마 공격 경향을 발견했으며 모든 나라들이 중국, 미국, 러시아에 대해 가장 큰 표적이 되는 하나 이상의 전염병 테마 위협을 주목하고 있다고 전했다.

또한 트릭봇(Trickbot)과 에모넷(Emotet) 악성코드는 코비드-19 관련 악성 첨부 파일이나 악성 URL을 포함해 약 6만 개의 이메일과 함께 다양한 미끼를 재사용함으로써 위협을 이용하기 위해 다시 번들링하고 브랜드를 변경한다.

공격자들은 공식 조직을 사칭해 사용자가 받은 편지함에 들어오게 하고 스마트스크린(SmartScreen)은 1만 8,000개 이상의 악성 코비드-19 주제 URL과 IP 주소를 추적했다.

마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용하여 자격 증명을 수집하려는 대규모 피싱 공격을 방지했다. 또한 공격자는 건강관리 사업을 겨냥해 마이크로소프트가 의료 서비스 제공 업체와 인권 및 인도주의 조직에 무료로 어카운트가드(AccountGuard) 위협 알림 서비스를 제공하도록 촉구했다.

피시랩(Phishlabs)은 사이버 범죄자가 코비드-19 관련 음성 메일 알림을 사용해 사람들이 로그인하고 자격 증명을 훔치도록 속이는 것으로 보고했다. 트러스트웨이브(Trustwave)는 코비드-19를 주제로 한 비즈니스 이메일 침해(BEC) 사기가 증가하고 있다고 보고했다. 영국의 NCSC(National Cyber Security Center)는 공격자가 원격 접근 및 재택 사용자 진입점을 목표로 삼는 것으로 나타났다. 

코비드 관련 공격으로부터 원격 직원 보호
CSO는 직원과 회사 네트워크가 공격 대상이 되지 않게 하기 위해 어떤 조치를 취할 수 있는 4가지 방법은 다음과 같다. 

엔드 포인트 보호 : 윈도우 10 E5 라이선스나 마이크로소프트 365 엔터프라이즈 라이선스 또는 타사 엔드포인트 보호 도구와 함께 제공되는 마이크로소프트 디펜더 ATP를 활성화하라. 여기에는 가정용 기기가 포함된다.

온라인 익스체인지 및 이메일에 다중 인증(MFA) 사용 : 마이크로소프트는 최근 코비드-19가 조직에 미치는 영향으로 인해 기본 동의를 사용하지 않도록 결정했다. 공격자는 오피스 365 대상에서 POP, IMAP 및 기본 인증을 따른다. 암호 스프레이 공격과 암호 재사용을 사용하여 네트워크에 침입한다.

이는 CSO가 기본 또는 기존 인증을 비활성화하고 최신 인증을 지원해야 하는 이유다. 또한 보안 임원은 조건부 접근 정책을 사용해 오래된 취약한 인증 방법을 차단해야 한다.

이메일에 MFA가 있으면 공격자는 조직에 대한 쉬운 공격을 사용할 수 없다. CSO는 사무실 위치의 고정 IP 주소에서 로그인하는 모든 사람에게 MFA 프롬프트가 표시되지 않도록 하는 규칙을 설정할 수 있으므로 이 보호 기능은 공격자가 가장 많이 겨냥하는 원격 진입점에 집중된다. 또한 보안 임원은 네트워크를 좀더 잘 보호하기 위해 조건부 접근 규칙을 통해 지리적 로그인 제한을 추가하는 것을 고려해야 한다.

내부 사서함과 외부 환경 간에 이메일 필터링 또는 위생 유지 : 오피스 ATP든 다른 필터링 서비스든, 기업은 점점 더 큰 대상 공격 영역인 받은편지함의 피싱 공격을 보호하고 있는지 확인하라.

통찰을 배우고 공유하기 위해 다른 리소스에 접근 : 보안 연구원 그룹이 코비드-19 사이버 위협 연합(Covid-19 Cyber Threat Coalition)의 기치 아래에서 위험과 위협을 공유하기 위해 협력했다. 매주 요약을 검토하거나 슬랙 채널에 가입해 정보와 리소스를 공유하라.

이 연합은 CSO가 네트워크 방화벽 규칙에서 사용할 수 있는 악성 도메인 및 URL의 마스터 목록을 아래와 같이 제공했다. 
 
ⓒSusan Bradley
ciokr@idg.co.kr

X