TTPs #11: Operation An Octopus - 중앙 집중형 관리 솔루션을 노리는 공격전략 분석
Contents
이 보고서에서는 안다리엘(Andariel) 그룹이 사용한 TTP(Tactis/Techniques/Procedure)에 대해 다룬다. 이 그룹은 라자루스(Lazarus) 그룹의 하위 조직으로 알려져 있으며, 국가 안보 위협, 기술 탈취, 금전적 이익 등 다양한 목적으로 활동하고 있다. 안다리엘은 국내에서 널리 사용되는 솔루션의 취약점을 찾아 활용하는 것에 능숙하며, 현재도 국내 기업들에 설치된 중앙 집중형 관리 솔루션을 공격 대상으로 삼고 있다. 파일 배포 기능이 포함된 자산 관리 솔루션부터 정보보안 솔루션에 이르기까지 다양한 소프트웨어의 제로데이 취약점을 빠르게 찾아내어 공격에 활용하는 전략은 안다리엘의 주요 특징이다.
이러한 트렌드 속에서 우리가 대응할 수 있는 가장 쉬운 방법은 외부에 노출된 관리 콘솔의 접근 제어, 즉 흔히 말하는 공격 표면 관리를 강화하는 것이다. 작년 6월부터 올해 상반기까지 안다리엘이 일으킨 사고를 다수 분석한 결과, 대부분 외부에 노출된 관리자 콘솔 포트를 통해 취약점 공격이 수행되었다. 안다리엘은 취약한 소프트웨어를 스캔하는 코드를 제작, 실행하여 손쉽게 침투할 수 있는 기업을 대상으로 공격을 진행했다.
하지만 최근 안다리엘의 공격 전략은 단순 스캔성 침투 방식을 넘어서, 다수의 고객사를 보유한 개발사의 공급망을 통해 악성코드를 배포하는 수준으로 진화했다. 이러한 …
이러한 트렌드 속에서 우리가 대응할 수 있는 가장 쉬운 방법은 외부에 노출된 관리 콘솔의 접근 제어, 즉 흔히 말하는 공격 표면 관리를 강화하는 것이다. 작년 6월부터 올해 상반기까지 안다리엘이 일으킨 사고를 다수 분석한 결과, 대부분 외부에 노출된 관리자 콘솔 포트를 통해 취약점 공격이 수행되었다. 안다리엘은 취약한 소프트웨어를 스캔하는 코드를 제작, 실행하여 손쉽게 침투할 수 있는 기업을 대상으로 공격을 진행했다.
하지만 최근 안다리엘의 공격 전략은 단순 스캔성 침투 방식을 넘어서, 다수의 고객사를 보유한 개발사의 공급망을 통해 악성코드를 배포하는 수준으로 진화했다. 이러한 …