금융기관, 연구소 등을 타깃으로 한 공격 캠페인

사이버보안부는 사이버보안 모니터링 과정에서 국가사이버보안모니터링센터(NCSC)가 APT 그룹인 MiroFace가 수행한 사이버공격 캠페인과 관련된 정보를 감지하고 기록했다고 밝혔습니다.

APT MirrorFace는 금융 기관, 연구 기관, 제조업체를 표적으로 삼은 것으로 알려졌습니다. 이 공격 그룹은 Array AG와 FortiGate 소프트웨어 제품의 보안 취약점을 악용하여 NOOPDOOR 악성코드를 유포했습니다.

전문가에 따르면, NOOPDOOR 악성코드는 시스템의 합법적인 애플리케이션에 ".XML"과 ".DLL" 두 가지 변종으로 내장되어 있습니다. 두 변종 모두 공격자가 443번과 47000번 포트를 통해 연결하여 파일을 다운로드하고 명령을 실행할 수 있도록 허용합니다.

악성코드가 공개된 후 공격자는 시스템의 인증 정보 저장소에 접근하고, 로컬 네트워크의 다른 장치에 악성코드를 배포하고, 사용자 정보를 모니터링하고 추출하는 등 불법적인 활동을 수행했습니다.

또한 공격자는 타임스탬프 편집, 맬웨어가 특정 포트에 연결할 수 있도록 시스템 방화벽에 규칙 추가, 활성화된 서비스 숨기기 등 감지되지 않는 조치를 취했습니다.

정보보안부는 전국의 조직과 기업이 APT MirrorFace 그룹의 공격 캠페인으로 영향을 받을 수 있는 사용 중인 정보 시스템에 대한 검사 및 검토를 수행할 것을 권고합니다. 동시에, 공격 위험을 예방하고 피하기 위해 이 공격 캠페인과 관련된 정보를 적극적으로 모니터링해야 합니다.

동시에, 조직들은 악용 징후나 사이버 공격이 감지될 경우를 대비하여 모니터링을 강화하고 대응 계획을 마련해야 합니다.

또한, 각 부대는 잠재적 사이버 공격을 신속하게 탐지하기 위해 정보를 모니터링해야 합니다. 도움이 필요한 경우, 국가 사이버보안 모니터링 센터(02432091616)에 연락하거나 ncsc@ais.gov.vn으로 이메일을 보내주시기 바랍니다.