정보보안부는 사이버공간의 정보보안을 모니터링하는 과정에서 국가사이버보안감시센터(NCSC)가 APT 그룹인 미로페이스(MiroFace)가 수행한 사이버공격 캠페인과 관련된 정보를 발견하고 기록했다고 밝혔습니다.

APT MirrorFace는 금융 기관, 연구 기관, 제조업체를 표적으로 삼는 것으로 알려져 있습니다. 이에 따라 공격 그룹은 Array AG와 FortiGate 소프트웨어 제품의 정보 보안 취약점을 악용하여 NOOPDOOR 맬웨어를 확산시켰습니다.

전문가에 따르면, NOOPDOOR 맬웨어는 ".XML" 및 ".DLL" 파일 형태의 두 가지 변종으로 시스템의 합법적인 애플리케이션에 설치됩니다. 두 변종 모두 공격자가 443 및 47000 포트를 통해 연결을 설정하여 파일을 다운로드하고 명령을 실행할 수 있도록 허용합니다.

악성코드가 공개된 후, 공격자는 네트워크 시스템의 인증 정보 저장소에 접근하거나, 로컬 네트워크의 다른 기기에 악성코드를 확산시키거나, 사용자 정보를 모니터링하고 추출하는 등의 불법 행위를 수행했습니다.

또한 공격자는 타임스탬프 편집, 맬웨어가 특정 포트에 연결할 수 있도록 시스템 방화벽에 규칙 추가, 활성화된 서비스 숨기기 등 감지되지 않는 조치를 취했습니다.

이에 따라 정보보안부는 전국의 조직과 기업이 APT MirrorFace 그룹이 시작한 공격 캠페인의 영향을 받을 수 있는 사용 중인 정보 시스템에 대한 검사와 검토를 수행할 것을 권고합니다. 동시에, 이 공격 캠페인과 관련된 정보를 사전에 모니터링하여 공격 위험을 예방하고 피하세요.

동시에 조직에서는 악용 및 사이버 공격의 징후를 감지하면 모니터링을 강화하고 대응 계획을 준비하라는 조언도 받습니다.

또한, 각 부대는 사이버 공격 위험을 신속히 감지하기 위해 정보를 모니터링해야 합니다. 지원이 필요한 경우, 해당 부대는 국가 사이버 보안 모니터링 센터(02432091616)에 연락하거나 [email protected]으로 이메일을 보낼 수 있습니다.