사이드와인더 APT

남아시아와 동남아시아, 아프리카, 중동의 해상 및 물류 회사는 SideWinder로 알려진 고급 지속 위협(APT) 그룹의 주요 표적이 되었습니다. 2024년에 관찰된 최근 사이버 공격은 방글라데시, 캄보디아, 지부티, 이집트, 아랍에미리트, 베트남의 조직에 영향을 미쳤습니다.

SideWinder는 해상 부문을 넘어 남아시아와 아프리카 전역의 원자력 발전소와 원자력 에너지 인프라에도 주목하고 있습니다. 영향을 받는 다른 산업으로는 통신, 컨설팅, IT 서비스, 부동산 중개, 심지어 호텔과 같은 호스피탈리티 부문도 있습니다.

외교적 목표와 인도와의 연결

SideWinder는 공격 범위를 눈에 띄게 확대하면서 아프가니스탄, 알제리, 불가리아, 중국, 인도, 몰디브, 르완다, 사우디 아라비아, 터키, 우간다의 외교 기관을 상대로 사이버 작전을 시작했습니다. 이 그룹이 인도를 특별히 표적으로 삼은 것은 위협 행위자가 인도 출신일 수 있다는 이전의 추측을 감안할 때 중요합니다.

끊임없이 진화하고 포착하기 힘든 적

SideWinder는 지속적인 진화로 유명하며, 전문가들은 이를 '매우 진보적이고 위험한 적'이라고 설명합니다. 이 그룹은 툴셋을 지속적으로 개선하고, 보안 소프트웨어 감지를 회피하며, 손상된 네트워크 내에서 장기적인 지속성을 보장하는 동시에 디지털 발자국을 최소화합니다.

StealerBot: 치명적인 스파이 도구

2024년 10월, 사이버 보안 연구원들은 SideWinder에 대한 심층 분석을 수행하여 StealerBot을 사용했다는 사실을 밝혀냈습니다. StealerBot은 침해된 시스템에서 민감한 데이터를 추출하도록 설계된 모듈식 사후 익스플로잇 툴킷입니다. SideWinder가 해양 산업에 관심을 가진 것은 2024년 7월에 이미 기록되었으며, 지속적이고 집중적인 접근 방식을 강조했습니다.

공격 방법: 스피어 피싱 및 익스플로잇

최근의 공격은 익숙한 패턴을 따릅니다. 스피어 피싱 이메일은 초기 감염 벡터 역할을 하며, 잘 알려진 Microsoft Office 취약성(CVE-2017-11882)을 악용하는 안전하지 않은 문서를 운반합니다. 이러한 문서를 열면 여러 단계의 시퀀스가 트리거되어 궁극적으로 ModuleInstaller라는 .NET 다운로더를 배포하고, 이는 차례로 StealerBot을 실행합니다.

연구자들은 많은 유인 문서에서 핵 에너지 기관, 핵 발전소, 해양 인프라, 항만 당국을 언급하는 것을 확인했는데, 이는 핵심 산업을 표적으로 삼는 매우 전략적인 접근 방식을 시사합니다.

보안 조치에 앞서기 위한 적응

SideWinder는 맬웨어의 보안 탐지를 적극적으로 모니터링합니다. 도구가 식별되면 그룹은 새로운 수정된 버전을 빠르게 개발합니다. 때로는 몇 시간 만에 개발하기도 합니다. 보안 솔루션이 동작을 플래그로 표시하면 지속성 기술을 변경하고 파일 이름과 경로를 변경하며 유해한 구성 요소가 로드되는 방식을 조정하여 대응합니다.

SideWinder는 공격 방법을 끊임없이 개선하고 대책에 빠르게 적응하면서 전 세계 주요 산업에 대한 지속적이고 진화하는 사이버 위협으로 남아 있습니다.