카스퍼스키 ICS CERT 전문가들은 아시아 태평양(APAC) 지역의 산업 조직을 표적으로 삼는 사이버 공격 캠페인을 발견했습니다. 이 캠페인은 대만(중국), 말레이시아, 중국, 일본, 태국, 한국, 싱가포르, 필리핀, 베트남 등 아시아 태평양(APAC) 지역의 여러 국가의 정부 기관과 중공업 조직을 타겟으로 했습니다.

해커는 세금 관련 문서로 위장한 악성 코드가 포함된 압축 파일을 이용해 이메일이나 WeChat, Telegram과 같은 메시징 앱을 통해 피싱 캠페인을 통해 확산시킵니다. 복잡한 다층 맬웨어 설치 과정이 시스템에 설치되면 사이버 범죄자는 FatalRAT이라는 백도어를 설치하게 됩니다.

이 캠페인은 Gh0st RAT, SimayRAT, Zegost, FatalRAT 등 오픈소스 원격 접속 맬웨어(RAT)를 사용한 이전의 공격과 유사점이 있지만, 전문가들은 전술, 기술, 운영 방법에 상당한 변화가 있다는 것을 발견했으며, 이러한 변화는 모두 중국어를 사용하는 조직과 기관을 표적으로 삼도록 맞춤화되었습니다.

카스퍼스키는 이 캠페인에 'SalmonSlalom'이라는 이름을 붙였는데, 사이버범죄자들이 정교한 전략과 끊임없이 바뀌는 방법을 통해 네트워크 방어를 교묘히 회피하는 모습을 묘사한 것입니다. 마치 장애물을 극복하기 위해 인내심과 독창성이 필요한 빠르고 힘든 여정을 헤엄치는 연어와 비슷합니다.

이러한 공격 캠페인으로부터 중공업 조직을 사전에 보호하기 위해 Kaspersky는 다음과 같은 조치를 권장합니다.

- 보안 솔루션의 관리 계정과 웹 인터페이스에 로그인할 때 항상 2단계 인증(2FA)을 활성화하고 요구하세요.

- 시스템 전체에 최신 버전의 중앙 보안 솔루션을 설치하고, 바이러스 백신 데이터베이스와 프로그램 모듈을 정기적으로 업데이트합니다.

- 법적으로 클라우드 보안 서비스 사용이 제한되지 않은 시스템 그룹을 대상으로 최신 위협(예: Kaspersky Security Network 등)에 대한 정보를 업데이트합니다.

- Kaspersky Unified Monitoring and Analysis Platform과 같은 보안 모니터링 시스템(SIEM)을 배포합니다.