728x90
반응형
내용 요약
러시아 지원 해커 집단 ColdRiver가 공개된 악성코드 플랫폼 LostKeys를 5일 만에 완전히 재구성해 공격을 재개했습니다. Google의 보안 공지 이후, 이 집단은 신속히 새로운 악성코드를 개발해 탐지 회피를 시도하며 사이버 공격을 가속화하고 있습니다.
핵심 포인트
- Rapid Tool Evolution: ColdRiver는 기존 도구의 취약점이 드러난 뒤 즉각적으로 새로운 악성코드를 배포, 보안 방어를 회피합니다.
- LostKeys Platform: 이 플랫폼은 모듈형 구조와 암호화된 통신을 활용해 멀티스테이지 공격을 가능케 합니다.
- Detection Evasion Techniques: 코드 난독화, 서명 변조, 메모리 기반 실행 등 다양한 기법으로 기존 보안 솔루션을 회피합니다.
기술 세부 내용
1️⃣ ColdRiver (러시아 지원 해커 집단)
- 배경
ColdRiver는 러시아 정부와 연계돼 활동하는 공격 그룹으로, 주로 국가 안보와 정치적 목표를 위해 대규모 사이버 스파이 및 공격을 수행합니다. - 공격 방식
1️⃣ 피싱 및 사전 침투 – 정식 이메일 스푸핑, 악성 링크 삽입.
2️⃣ 피해자 시스템 침투 – 취약한 RDP, SMB 프로토콜, Zero‑Day Exploit 활용.
3️⃣ 내부 가동 – ‘LostKeys’ 플랫폼을 이용해 멀티스테이지 악성코드 실행.
4️⃣ 데이터 수집 및 탈취 – 키로깅, 파일 스니핑, 메타데이터 추출.
5️⃣ 에그니션 및 삭제 – 흔적 제거, 로그 삭제, 악성코드 암호화. - 전략적 목표
- 정교한 APT(Advanced Persistent Threat) 수행.
- 보안 인프라 차단을 위해 다양한 변형과 버전을 주기적으로 배포.
2️⃣ LostKeys (ColdRiver의 악성코드 플랫폼)
- 구조
- 모듈형 디자인: 핵심 실행 파일(Agent), 플러그인(키로깅, 스크린샷, 백도어, C&C 통신), 암호화 모듈.
- 멀티스테이지: 초기 스텝(피싱/취약점 활용) → 중간 스텝(모듈 설치) → 최종 스텝(데이터 수집).
- 주요 기능
1️⃣ C&C (Command & Control) 통신- HTTPS, DNS, 스텔스 채널(다중 프로토콜) 사용.
- Encryption: TLS/SSL + 자체 암호화 (AES-256).
2️⃣ 데이터 수집 - 키로깅, 스크린샷, Clipboard, 브라우저 히스토리.
- 파일 시스템 스캔 및 비밀 문서 검색(Office, PDF).
3️⃣ 백도어 설치 - Windows Service, 레지스트리
HKLM\SYSTEM\CurrentControlSet\Services. - 원격 명령 실행(Windows Management Instrumentation, RDP).
4️⃣ 코드 난독화 - XOR, Base64, PE 헤더 변조, Shellcode 삽입.
- DLL 가상화와 같은 고급 기법.
- 보안 회피 전략
- 패키징: UPX, 스크립트 번들러(WinRAR, 7z)로 압축.
- Self‑Deleting: 실행 후 파일 삭제, 레지스트리 클리어.
- 파일 레이아웃: PE 헤더 변형, 임의의 섹션 생성.
- 메모리 실행:
Reflective DLL Injection을 이용해 메모리에서 실행, 디스크 상에 파일 없음.
3️⃣ Detection Evasion Techniques
- Polymorphic & Metamorphic Malware
- 코드가 실행될 때마다 자동 변형되어 시그니처 기반 탐지를 피함.
- Fileless Attacks
- 메모리 기반 실행(
WMI,PowerShell,COM)으로 파일 시스템에 흔적을 남기지 않음.
- 메모리 기반 실행(
- Dynamic C&C Discovery
- DNS 리버스 토폴로지, IP 무작위화, Fast Flux를 이용해 C&C 주소를 지속적으로 갱신.
- Use of Legitimate Services
- Cloudflare, Google Cloud, AWS S3를 활용해 악성코드 파일을 호스팅, 신뢰된 도메인으로 보이게 함.
- Zero-Day Exploits
- 최신 취약점을 자동으로 스캔, 공격 전용 패치를 적용해 미리 방어 대비.
4️⃣ 대응 방안
| 단계 | 방어 전략 | 구현 방법 |
|---|---|---|
| 입력 단계 | 피싱 차단 | 이메일 필터링, 링크 검사, DMARC, DKIM 적용 |
| 접근 단계 | 취약점 관리 | 최신 패치 적용, 취약점 스캐너 |
| 실행 단계 | EDR(Endpoint Detection & Response) | 메모리 스캔, 실행 파일 모니터링 |
| 통신 단계 | 네트워크 모니터링 | TLS/SSL 트래픽 분석, DNS 트래픽 로그 |
| 지속 단계 | 시그니처 업데이트 | 최신 위협 인텔리전스, AI 기반 탐지 모델 |
5️⃣ 향후 전망
- AI 기반 변형: 인공지능을 이용해 실시간으로 악성코드 변형, 탐지 회피 확장.
- IoT 및 클라우드 노출: IoT 디바이스 취약점 활용 증가, 클라우드 기반 공격 시나리오 확대.
- 정책 강화 필요: SOC 운영, 보안 교육, 법적 대응 체계 구축이 필수.
총 1,200자 내외의 요약 및 상세 분석을 통해 ColdRiver와 LostKeys의 공격 패턴, 구조, 방어 회피 기법, 그리고 효과적인 대응 방안을 정리했습니다. 이 문서는 보안 전문가들이 현재 위협 환경을 이해하고, 적절한 보안 대책을 수립하는 데 유용합니다.
출처: http://www.boannews.com/media/view.asp?idx=139882&kind=&sub_kind=
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [데일리시큐]정부, ‘범부처 정보보호 종합대책’ 발표…“총력 대응” 밝혔지만 실효성·지속성 논란 (0) | 2025.10.22 |
|---|---|
| [보안뉴스]국가안보실 중심으로 민관 아우른다...범부처 정보보호 종합대책 발표 (0) | 2025.10.22 |
| [보안뉴스]과방위 국감, 통신사 해킹 은폐 의혹 난타...보안 인증 등 제도 실효성·국정원 역할 등 지적 (0) | 2025.10.21 |
| [데일리시큐][국감] “민간 해킹엔 압박, 공공 해킹엔 침묵“…정부 온나라시스템 해킹과 LG유플러스 국감서 드러난 이중잣대 (0) | 2025.10.21 |
| [보안뉴스]박세준 티오리 대표 “해킹은 ‘기본’ 간과때문...지속점검 집중해야” (0) | 2025.10.21 |