Advanced Threat Group GoldenJackal Exploits Air-Gapped Systems
- 공격 개요
- GoldenJackal은 APT(Advanced Persistent Threat) 그룹으로, 2022년 5월부터 2024년 3월까지 정부 기관을 대상으로 한 사이버 스파이 활동을 수행
- 이번 캠페인은 ESET 연구원들에 의해 발견되었으며, 인터넷에 연결되지 않은 에어갭 시스템을 대상으로 맞춤형 도구를 사용하여 침투
- 특히 정부 및 외교 기관을 타깃으로 하여 기밀 정보 탈취를 목적으로 하는 정교한 공격 수행
- 역사적 배경
- GoldenJackal의 활동은 2019년으로 거슬러 올라가며, 벨라루스의 남아시아 대사관을 타깃으로 한 공격에서 처음 포착
- 2019년 캠페인에서부터 에어갭 시스템을 침투하기 위한 맞춤형 툴셋이 사용된 것이 확인되었으며, 이는 공개적으로 문서화된 최초의 사례 중 하나
- 사용된 툴셋
- GoldenDealer: USB 드라이브를 통해 악성 파일을 전송하는 역할을 수행
- GoldenHowl: 데이터 수집 및 탈취와 같은 기능을 제공하는 모듈형 백도어
- GoldenRobo: 파일 수집 및 탈취 도구로, 타깃 시스템에서 데이터를 수집하고 외부로 유출
- 최근 공격 및 도구 개선
- 2024년의 공격에서는 모듈형 툴킷을 사용하여 더욱 정교해진 공격 수행
- 네트워크 내에서의 지속성, 파일 수집 및 배포 등의 기능이 향상되어, 타깃 시스템에서 보다 쉽게 정보를 수집하고 관리 가능
- 일부 호스트는 파일 탈취에 이용되고, 다른 호스트는 로컬 서버로 사용되어 파일 분배 및 구성 파일을 관리
- 타깃 및 기원
- 주로 유럽, 남아시아, 중동의 정부 및 외교 기관을 대상으로 활동
- 러시아 기원 가능성: GoldenHowl 악성코드에서 사용된 C&C 프로토콜이 과거 Turla 및 MoustachedBouncer에서 사용된 방식과 유사, 이는 개발자가 러시아어 사용자일 가능성을 시사
- ESET는 해당 그룹의 기원을 특정하지는 않았지만, 러시아 연관성이 의심되는 여러 지표를 확인
- 위협 및 시사점
- USB 기반 침투를 통한 공격 방식은 에어갭 시스템조차 공격 가능하게 하여, 가장 안전한 시스템도 취약할 수 있음을 보여줌
- 정부 및 중요한 기관들은 에어갭 시스템에 대한 보안 조치와 함께 USB 사용 제한, 물리적 보안 강화가 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 틱톡 개인정보 및 정보통신망법 위반 여부 점검 (5) | 2024.10.15 |
|---|---|
| 대학 개인정보 유출 사고와 정보보호 평가 문제점 (0) | 2024.10.15 |
| 구글, 인도에서 안전하지 않은 안드로이드 앱 사이드로딩 차단 - 금융 사기 방지 강화 (1) | 2024.10.15 |
| KB증권의 멀티 클라우드 구축 현황 및 보안적 관점 (2) | 2024.10.15 |
| 2024 국정감사, 보안·ICT·안전 분야 이슈 총정리: 공공·안보 (0) | 2024.10.15 |