Trellix 2022년도 위협 예측

랜섬웨어, 국가 주도(Nation States) 공격, 소셜 미디어, 원격 인력에 대한 의존도 변화 등이 2021년에 헤드라인을 장식했으며, 이는 악의적 행위자가 계속해서 도전하고 있음을 입증하는 것입니다. 그들은 도전적으로 여러 솔루션의 방어망을 뚫고 성공할 때마다 추진력을 얻으며, 이러한 자신감으로 더 대담해지고 더욱 퍼져 나갑니다.

당사는 그들의 투지가 미치는 영향과 그 힘을 바탕으로 얼마나 더 큰 피해로 이어질 수 있는지를 보아왔습니다. 평균 랜섬웨어 요청 금액은 2018년 5,000달러에서 2020년 약 200,000달러로 증가했습니다. 단 2년 만에 3900% 증가라는 이 놀라운 수치는 악의적 행위자가 성공할 때마다 얻는 힘을 입증합니다. 투지와 의지로 만들 수 있는 과실을 계속 수확하고자 하는 것은 결국 의미가 있습니다.

이러한 성공은 적응력을 통해 성취되었습니다. 처음에 성공하지 못하면 다시 시도한다는 개념입니다. 그들은 이러한 확고부동함으로 살아 숨 쉬는 존재로서 행동하며, 조직이 일상적으로 비즈니스를 유지 관리하기에 매우 힘든 위치에 있다는 것을 알고 있습니다.

동료이자 Trellix의 수석 과학자인 Raj Samani는 다음과 같이 말했습니다. "지난해 동안 당사는 사이버 범죄자들이 랜섬웨어에서 국가 주도 공격에 이르기까지 새로운 악의적 행위자 체계를 따르기 위해 전술을 더 영리하고 빠르게 재구성하는 것을 확인했는데, 2022년에는 그러한 변화가 예상되지 않습니다." "위협 환경이 진화하고 글로벌 팬데믹이 계속 영향을 미치는 상황에서, 기업은 사이버 보안 동향을 파악하고 정보를 보호하기 위해 사전 예방적이고 실행 가능한 태세를 갖추는 것이 중요합니다."

악의적 행위자들을 능가하고 매년 증가하는 공격과 침해의 추세를 멈추려면, 상시 운영되고 적응 가능하도록 한걸음 앞서나감으로써 보안에서 전술을 채택해야 합니다. 2022년을 맞이하여 Trellix의 숙련된 엔지니어와 보안 설계자가 사고방식과 접근 방식에서 이러한 변화가 얼마나 중요한지에 대해 아래에서 간략하게 설명합니다.

Lazarus가 귀하를 친구로 추가하고 싶어 합니다

국가 주도 공격은 더 많은 엔터프라이즈 전문가를 대상으로 소셜 미디어를 무기화할 것입니다
저자: Raj Samani

우리는 소셜 미디어를 즐겨 사용합니다. 팝스타와 전문 권위자 간의 불평 늘어놓기부터 업계 최고 일자리의 열린 채널에 이르기까지 매우 다양합니다.

그러나 알고 계신가요?

위협 행위자는 이것을 알고 있으며, 만나본 적도 없는 사람들의 연결을 받아들이려는 우리의 욕구는 다음 1,000명의 팔로워를 향한 지칠 줄 모르는 추구를 이어갑니다.

그 결과 특정 위협 그룹에서 구인을 약속하는 경영진을 공격 대상으로 삼았으며, 이는 충분히 있을 수 있는 일입니다. 결국 이것이 기존의 보안 통제를 바이패스하고 위협 그룹의 관심을 받는 기업의 대상과 직접 소통하는 가장 효율적인 방법입니다. 마찬가지로 그룹에서는 직접 메시지를 사용하여 인플루언서 계정을 제어하며 자체 메시지를 홍보했습니다.

이것이 새로운 접근 방식은 아니지만 대체 채널만큼 보편적입니다. 결국 대상을 상호 작용에 "엮기" 위한 연구의 수준이 필요하고, 가짜 프로필을 설정하는 것이 단순히 인터넷 어딘가에서 오픈 릴레이를 찾는 것보다는 일이 더 많습니다. 즉, 개인을 대상으로 하는 채널이 매우 성공적임이 입증되었으며, 이 벡터의 사용은 스파이 그룹을 통해서는 물론 자신의 범죄적 이익을 위해 조직에 침투하려는 다른 위협 행위자를 통해서도 성장할 수 있을 것으로 예상됩니다.

도움 필요:유리한 고지에 있는 공격자들

국가 주도 공격은 사이버 범죄자를 활용하여 공격 작전을 늘려나갈 것입니다
저자: Christiaan Beek

전략적 인텔리전스에 집중하는 당사 팀은 활동을 모니터링할 뿐만 아니라 다양한 소스에서 오는 공개 소스 인텔리전스를 조사 및 모니터링하여 전 세계의 위협 활동에 대한 더 많은 인사이트를 얻습니다. 여기에서 알 수 있는 것 중 하나는 사이버 범죄와 국가 주도 공격 작전이 결합된 형태가 증가하고 있다는 사실입니다.

많은 경우 신생 회사가 세워지고, 유령 회사 또는 기존 "기술" 회사의 웹이 해당 국가의 정보 부처에서 지시하고 통제하는 작전에 관여합니다.

예를 들어, 2021년 5월 미국 정부는 국영 유령 회사에서 근무하던 중국인 네 명을 기소했습니다. 유령 회사들은 해커를 동원하여 맬웨어를 만들고 관심 대상을 공격하여 비즈니스 인텔리전스, 영업 비밀, 중요한 기술에 대한 정보를 얻고자 했습니다.

중국뿐만 아니라 러시아, 북한, 이란 등 다른 나라들도 이러한 전술을 적용해왔습니다. 작전을 위해 해커를 고용하며, 자국의 이익에 해를 끼치지 않는 한 그들의 다른 작전에 대해 질문하지 않습니다.

과거에는 특정 맬웨어 제품군이 국가 주도 공격 그룹에 연결되었지만, 해커가 고용되어 코드를 작성하고 이러한 작전을 수행함에 따라 이러한 경계가 모호해지기 시작했습니다.

전술 및 도구를 사용한 초기 침해는 "일반" 사이버 범죄 작전과 유사할 수 있지만, 다음에 일어나는 일을 모니터링하고 빠르게 행동하는 것이 중요합니다. 2022년에는 사이버 범죄와 국가 주도 공격 행위자 간의 모호성이 증가할 것으로 예상되므로, 기업은 가시성을 감사하고 해당 섹터를 대상으로 하는 행위자가 수행하는 전술과 작전으로부터 배워야 합니다.

랜섬웨어 왕좌의 게임

자립적인 사이버 범죄 그룹에 의해 RaaS 에코 왕국 내에서 힘의 균형이 전환될 것입니다
저자: John Fokker

지난 몇 년간 랜섬웨어 공격이 가장 영향력 있는 사이버 위협으로 헤드라인을 지배해왔다는 사실에는 논란의 여지가 없습니다. 당시 RaaS(Ransomware-as-a-Service) 모델은 덜 숙련된 범죄자에게 사이버 범죄 경력의 길을 열어주었고, 결국 더 많은 침해와 더 높은 범죄 수익으로 이어졌습니다.

오랫동안 RaaS 관리자와 개발자는 최고의 대상으로 우선 순위에 올랐고, 숙련도가 떨어지는 것으로 인식된 제휴자들을 종종 무시하곤 했습니다. 여기에 파격적인 혁신을 거치지 않은 구태의연한 RaaS 에코시스템이 맞물리면서 숙련도가 떨어지는 제휴자들이 급증하여 매우 유능한 사이버 범죄자로 성장할 수 있는 분위기가 조성되었으며, 결국 다른 마음을 먹는 이들이 나오게 되었습니다.

Colonial Pipeline 공격에 대응하여, 인기 있는 사이버 범죄 포럼에서는 랜섬웨어 공격자들의 광고를 금지했습니다. 이제 RaaS 그룹에는 더 이상 적극적으로 채용하거나, 연공서열을 보여주거나, 에스크로를 제공하거나, 중재자가 바이너리를 테스트하거나, 분쟁을 해결하는 제3자 플랫폼이 없습니다. 가시성이 결여되어 RaaS 그룹이 신뢰를 구축하거나 유지하기가 더 어려워졌으며, RaaS 개발자가 지하 세계에서 현재의 최상위 위치를 유지하기가 더 어려워질 것입니다.

이러한 일들로 신뢰를 받는 지위가 훼손됩니다. 랜섬웨어는 최근 몇 년간 수십억 달러의 수익을 창출했으며, 공정한 몫을 받지 못하고 있다고 생각하는 몇몇 개인이 불행해지는 것은 시간문제일 뿐입니다.

이에 대한 첫 번째 징후는 Groove Gang에 대한 우리 블로그의 설명에서 이미 볼 수 있습니다. 사이버 범죄 조직인 Groove Gang은 기존의 RaaS에서 갈라져 나와 컴퓨터 네트워크 악용(CNE)을 전문으로 하고, 중요한 데이터를 추출하며, 수익성이 있는 경우 랜섬웨어 팀과 협력하여 조직의 네트워크를 암호화합니다.

2022년에는 더 많은 자립적인 사이버 범죄 그룹이 등장하여 RaaS 환경 내에서 랜섬웨어를 제어하는 자들로부터 피해자의 네트워크를 제어하는 자들로 힘의 균형이 전환될 것으로 예상합니다.

바보들을 위한 랜섬웨어

RaaS 모델 권력 이동에서 숙련도가 떨어지는 운영자가 무릎을 꿇을 필요가 없습니다
저자: Raj Samani

RaaS(Ransomware-as-a-Service) 에코시스템은 이익의 일부에 대해 개발자와 협력하는 제휴자, 중개인, 여성을 이용하며 진화했습니다. GandCrab이 성장하는 동안 이 구조가 다듬어졌지만, 완벽하지 않은 결합체가 되어 가는 과정에서 잠재적인 틈이 보이고 있습니다.

과거에 랜섬웨어 개발자들은 작전에서 제휴자를 선별적으로 결정하는 능력 덕분에 주도권을 쥘 수 있었고, 기술 전문성을 구축하기 위해 "취업 면접"을 열기도 했습니다. 더 많은 랜섬웨어 참여자가 시장에 진입함에 따라 가장 재능 있는 제휴자는 이제 수익에서 더 큰 몫을 얻기 위해 서비스를 경매할 수 있고 작전에서 더 광범위한 발언권을 요구할 수도 있습니다.

예를 들어, DarkSide 랜섬웨어 내에서 Active Directory 열거를 도입하는 것은 제휴자의 기술 전문성에 대한 종속성을 없애기 위한 것일 수 있습니다. 이러한 변화는 랜섬웨어 개발자가 인코딩한 전문 지식을 사용하면서 숙련도가 떨어지는 운영자의 수요가 증가하는 랜섬웨어 초기로의 잠재적인 마이그레이션을 나타냅니다.

그러면 어떻게 될까요? 솔직히 말하면, 숙련된 침투 테스터의 기술적 전문성을 복제하는 것은 어려울 것이며, 그 영향력은 아마도(단지 가정일 뿐임) 최근 사례처럼 심각하지는 않을 것입니다.

계속해서 API 주시하기

API 서비스와 앱 간의 5G 및 IoT 트래픽은 점점 더 수익성이 커지는 공격 대상이 될 것입니다
저자: Arnab Roy

위협 행위자는 기업 통계 및 추세를 면밀히 살피면서 잠재적인 위험 증가를 가져오는 서비스와 애플리케이션을 식별합니다. 클라우드 애플리케이션은 특성(SaaS, PaaS 또는 IaaS)에 관계없이 B2B 시나리오든 B2C 시나리오든 소프트웨어 개발자가 API를 설계, 소비, 활용하는 방식에 변화를 가져왔습니다. 일반적으로 이러한 API 배후에 있는 업무상 중요한 데이터와 기능의 중요한 저장소뿐만 아니라 클라우드 애플리케이션 중 일부의 도달 범위와 인기 역시 위협 행위자에게 수익성 있는 공격 대상이 됩니다. API의 본질적인 연결 특성은 더 광범위한 공급망 공격의 진입 벡터가 되기 때문에 잠재적으로 비즈니스에 추가적인 위험을 초래할 수 있습니다.

다음은 미래에 진화할 것으로 예상되는 몇 가지 주요 위험입니다. 1. API의 잘못된 구성 2. 최신 인증 메커니즘의 악용 3. 더 많은 클라우드 API를 사용하도록 기존 맬웨어 공격의 진화 4. API를 오용하여 엔터프라이즈 데이터에 대한 공격을 개시할 가능성 5. 소프트웨어 정의 인프라에 API를 사용하는 것은 잠재적인 오용을 의미하기도 합니다.

개발자의 경우 API에 대한 효과적인 위협 모델을 개발하고 제로 트러스트 액세스 제어 메커니즘을 보유하는 것이 우선 순위가 되어야 하며, 이와 더불어 더 나은 사고 대응과 악의적인 오용 탐지를 위해 효과적인 보안 로깅 및 원격 측정이 필요합니다.

애플리케이션 컨테이너를 대상으로 하는 하이재커

컨테이너 악용의 확장은 엔드포인트 리소스 탈취로 이어집니다
저자: Mo Cashman

컨테이너는 최신 클라우드 애플리케이션의 실질적인 플랫폼이 되었습니다. 조직은 비즈니스 혁신을 이끄는 애플리케이션을 배포하고 관리하는 시간을 줄일 수 있는 이식성, 효율성, 속도와 같은 이점을 누리고 있습니다. 그러나 컨테이너 사용이 가속화되면서 조직의 공격 표면이 늘어납니다. 어떤 기법에 유의해야 하며 어떤 컨테이너 위험 그룹이 공격 대상이 될까요? 공개 애플리케이션 악용(MITRE T1190)은 APT 및 랜섬웨어 그룹에서 자주 사용하는 기법입니다. CSA(Cloud Security Alliance)에서는 이미지, 오케스트레이터, 레지스트리, 컨테이너, 호스트 OS, 하드웨어를 포함한 여러 컨테이너 위험 그룹을 식별했습니다.

다음은 향후 확장된 악용의 공격 대상이 될 것으로 예상되는 몇 가지 주요 위험 그룹입니다. 1. 오케스트레이터 위험: 주로 잘못된 구성으로 인해 Kubernetes 및 관련 API와 같은 오케스트레이션 계층에 대한 공격 증가. 2. 이미지 또는 레지스트리 위험: 부족한 취약성 확인을 통해 악성 이미지나 백도어 이미지 사용 증가. 3. 컨테이너 위험: 취약한 애플리케이션을 대상으로 하는 공격 증가. 2022년에 위와 같이 취약성의 악용이 확대되면 암호화 채굴 맬웨어를 통한 엔드포인트 리소스 하이재킹, 다른 리소스 스핀업, 데이터 도난, 공격자 지속성, 호스트 시스템으로의 컨테이너 탈출 등이 발생할 수 있습니다.

제로 데이에 대한 제로 케어

취약성을 익스플로잇으로 전환하는 데 걸리는 기간은 시간 단위로 측정되며 패치 외에는 할 수 있는 일이 없습니다
저자: Fred House

2021년은 현장에서 악용되는 제로 데이 취약성의 양과 관련하여 기록상 이미 최악의 해로 알려지고 있습니다. 이러한 악용의 범위, 대상 애플리케이션의 다양성, 그리고 궁극적으로 조직에 미치는 영향에서 모두 주목할 만합니다. 2022년에는 이러한 요소들이 조직의 대응 속도 향상을 이끌 것으로 예상합니다.

2020년, 약 17,000개에 달하는 SolarWinds 고객사가 침투되었고 약 40개 고객사가 뒤이어 공격 대상이 되었다는 사실을 처음 알게 되었을 때 많은 사람들이 침투의 순수한 범위에 충격을 받았습니다. 불행하게도 2021년에는 조직의 고무적이지 않은 응답 시간과 함께 볼륨이 눈에 띄게 증가했습니다. 적절한 사례: Microsoft는 ProxyLogon 패치를 수행하고 2주 후에도 30,000개의 Exchange 서버가 여전히 취약하다고 보고했습니다(덜 보수적인 추정치는 60,000개).

ProxyShell은 나중에 Exchange의 올해 두 번째 주요 이벤트로 등장했습니다. 8월에는 Exchange Server 취약성을 자세히 설명하는 Blackhat 프레젠테이션이 있었고 다음날 익스플로잇 POC 릴리스로 이어졌는데, Microsoft는 몇 달 전인 4월/5월에 모두에 대해 패치를 적용한 바 있습니다. 익스플로잇 POC가 릴리스되고 일주일 후 Shodan이 캡처한 이 데이터 분석은 30,000개 이상의 Exchange Server가 여전히 취약하다는 결론을 내렸는데, 데이터가 전체 범위를 축소해서 표현했을 수 있다고 했습니다(즉, Shodan은 전체 인터넷을 검사할 시간이 없었습니다). 요약: 봄에 패치되고 가을에 악용되었습니다.

그렇다면 이 모든 것에서 무엇을 얻을 수 있을까요? 공격자와 보안 연구자 모두 취약성이 공개된 후 몇 시간 내에 무기화된 익스플로잇과 POC가 예상될 때까지 계속해서 각자의 기술을 연마할 것입니다. 그러나 침투의 결과가 점점 커짐에 따라 자산 및 패치 관리와 관련하여 새로운 노력의 결과도 기대할 수 있습니다. 공개 자산을 식별하는 것에서 잠재적인 비즈니스 중단에도 불구하고 패치를 신속하게 배포하는 것에 이르기까지 기업은 "패치 시간"을 줄이는 데 다시 집중하게 될 것입니다. 악용이 큰 영향을 미치는 상황은 계속될 수밖에 없겠지만, 침투하려는 악의적 행위자보다 더 빠르고 효율적으로 학습하고 적응할 수 있는 보안으로 더 나은 보호를 구현할 수 있음을 인식하는 조직이 늘어남에 따라 이러한 악용의 범위는 줄어들 것입니다.