카스퍼스키, 아태지역 산업 조직을 겨냥한 'SalmonSlalom' 공격 발견

2025-02-27 10:05
편집부 press@bodnara.co.kr

카스퍼스키 산업제어시스템(ICS) 침해사고대응팀(CERT)이 아시아 태평양(APAC) 지역의 산업 조직을 표적으로 삼은 공격(campaign)인 ‘SalmonSlalom(살몬슬라럼)’을 발견했다고 밝혔다.

공격자들은 정식 클라우드 서비스를 악용하여 악성코드를 관리하고, 탐지를 피하기 위해 합법적인 소프트웨어를 활용한 복잡한 ‘다단계 악성코드 배포 방식(multi-stage malware delivery scheme)’을 사용했다. 이를 통해 공격자들은 피해 조직의 네트워크 전반에 악성코드를 확산시키고, 원격 관리 도구를 설치하며, 장치를 조작하고, 기밀 정보를 탈취 및 삭제할 수 있었다.

이번 캠페인은 대만, 말레이시아, 중국, 일본, 태국, 홍콩, 한국, 싱가포르, 필리핀, 베트남을 포함한 APAC 지역 여러 국가 및 지역의 정부 기관과 산업 조직을 대상으로 했다. 공격자들은 세금 관련 문서로 위장한 멀웨어(악성코드)가 포함된 ZIP 압축 파일을 이메일 및 메신저(WeChat 및 Telegram)를 이용한 피싱 캠페인을 통해 피해자들에게 전달했다. 복잡한 다단계 멀웨어 설치 절차의 결과로 시스템에 백도어로 원격 액세스 트로이목마(RAT)인 FatalRAT가 설치되었다.

이전 캠페인에서 사용된 Gh0st RAT, SimayRAT, Zegost 및 FatalRAT과 같은 오픈소스 원격 액세스 트로이 목마(RATs)를 활용한 공격 방식과 유사한 점이 있었지만, 이번 공격에서는 특히 중국어 사용자를 겨냥한 새로운 전술, 기술 및 절차(TTPs)의 변화가 두드러졌다.

공격 방식 및 회피 기법

공격자들은 중국 클라우드 콘텐츠 전송 네트워크(CDN)인 myqcloud와 Youdao Cloud Notes 서비스를 악용하여 공격을 수행했다. 탐지 및 차단을 피하기 위해, 동적으로 제어 서버 및 악성 페이로드(payload) 변경, 합법적인 웹 리소스에 악성 파일 배치, 합법적인 애플리케이션의 취약점 악용, 악성코드를 실행하기 위해 합법적인 소프트웨어 기능 활용, 파일 및 네트워크 트래픽의 패키징 및 암호화 등과 같은 다양한 방법이 사용되었다

카스퍼스키는 이번 공격 캠페인을 ‘SalmonSlalom’이라고 명명했다. 연어가 급류를 거슬러 올라가면서 바위 사이를 헤치고 지나가듯, 공격자들이 사이버 방어 체계를 회피하기 위해 끊임없이 전략을 변경하는 모습에서 착안한 것이다.

이번 공격이 특정 해킹 그룹에 의해 수행되었다는 명확한 증거는 없지만, 중국어 기반 서비스 및 인터페이스의 지속적인 사용과 기타 기술적 증거를 고려할 때 중국어를 사용하는 위협 행위자가 관련되었을 가능성이 높다.

SalmonSlalom 공격에 대응하기 위한 보안 권장 사항

카스퍼스키는 해당 공격으로부터 피해를 막기 위해 다음과 같은 조치를 취할 것을 권장한다.

 보안 솔루션의 관리 콘솔 및 웹 인터페이스 로그인 시 이중 인증(two-factor authentication, 2FA)을 활성화하라.

 중앙에서 관리되는 최신 보안 솔루션을 모든 시스템에 설치하고, 바이러스 백신 데이터베이스 및 프로그램 모듈을 정기적으로 업데이트하라.

 모든 시스템에서 보안 솔루션의 모든 구성 요소가 활성화되었는지 확인하고, 관리자 암호 입력 없이 보호 기능을 비활성화하거나 보안 솔루션을 제거하지 못하도록 정책을 설정하라.

 보안 솔루션이 카스퍼스키 시큐리티 네트워크(Kaspersky Security Network) 등 활용하여 최신 위협 정보를 수신하도록 구성하라, 단 법적 또는 규제상의 이유로 클라우드 보안 서비스를 사용할 수 없는 경우 제외해야 한다.

 운영 체제(OS) 및 애플리케이션을 최신 버전으로 업데이트하고, 보안 업데이트(패치)를 즉시 적용하라.

 카스퍼스키 통합 모니터링 및 분석 플랫폼(Kaspersky Unified Monitoring and Analysis Platform)과 같은 SIEM(시스템 정보 및 이벤트 관리, System Information and Event Management) 시스템을 도입하라.

 OT 환경에서 가장 일반적으로 관찰되는 연관 관계인 ‘조부모-부모-자식 프로세스 관계(grandparent-parent-child process relationship)’에 대한 기준선을 설정하기 위해 EDR/XDR/MDR 솔루션을 활용하라. 이는 공격자가 합법적인 바이너리(binary) 기능을 악용하여 이후 악성 페이로드를 실행한 사례를 기반으로 한 강력한 권고 사항이다.

닉네임

비회원

보드나라 많이 본 뉴스

붉은사막 지원, AMD 소프트웨어 26.3.1 버전 배포

펄어비스, 인텔 아크 그래픽 카드 사용자에 붉은사막 구매자 환불 권유

어도비 구독 해지 다크 패턴 논란, 미 정부와 1억5천만 달러 합의

보드나라 많이 본 기사

M5 시리즈로 업그레이드, 애플 신형 맥북과 스튜디오 디스플레이 시리즈 발표

갤럭시 S26 울트라에 올인, 삼성전자 갤럭시 언팩 2026

인텔 메인스트림 CPU의 왕위 계승, 코어 울트라 7 270K Plus

보드나라 최신 기사

[02/27] SL노트, IT기기 ‘방문 매입-데이터 삭제’ 원스톱 서비스 진행

[02/27] 넥슨, 모바일 방치형 RPG ‘메이플 키우기’ PC 버전 베타 서비스 시작

[02/27] 넥슨, ‘던전앤파이터’ 신규 시즌 ‘천해천’ 업데이트 실시!

[02/27] 서린씨앤아이, 비콰이어트 PC 케이스 10종 새학기 맞이 최대 25% 특가 할인 진행

[02/27] 넥슨, ‘던전앤파이터 모바일’에 신규 레이드 ‘침식의 시로코’ 업데이트!

[02/27] 넷마블 <일곱 개의 대죄: GRAND CROSS>, ‘그랜드 시즌: 일곱 번째 봄’ 업데이트

[02/27] 웹젠 뮤 모나크2, 신규 콘텐츠 ‘불사의 회랑’ 업데이트

[02/27] 한국레노버, 온디바이스 AI로 업무 혁신 이끄는 ‘씽크패드 아우라 에디션’ 3종 출시

[02/27] CXMT 중국 메모리는 가격 폭등을 타고 메모리 BIG4가 될 수 있을까?, [메모리 가격 폭등 9부]

[02/27] 화제의 게임 붉은사막,더 어울리는 CPU 선택은?

[02/27] 밸로프, ‘라스트오리진’ 대만 서비스 1주년 업데이트 실시

[02/27] NHN클라우드-NHN두레이, DB Inc.와 ‘금융 DX-AI 전환’ MOU 체결

[02/27] 넥슨, ‘바람의나라’ 30주년 신규 직업 ‘흑화랑’ 티저 영상 공개

[02/27] 마이크로소프트, 대한민국을 ‘글로벌 AI 허브’로.. 실험 단계 넘어 ‘프론티어 전환’ 본격 가동

[02/27] 인텔, 인텔 vPro 탑재한 ‘인텔 코어 Ultra 시리즈 3’ 출시로 차세대 기업용 PC 지원

[02/27] 엔비디아, ‘포르자 호라이즌 6’ 포함 최신 게임 3종에 DLSS 기술 지원

[02/27] 노르딕 세미컨덕터, 사이버 복원력법 대응을 위한 수명주기 기반 단일 고정 비용의 FOTA 솔루션 공개

[02/27] OpenAI, 동영상 생성 AI 서비스 '소라' 서비스 종료 결정

[02/27] 도브러너, 멀티 DRM 환경을 위한 라이선스 보안 솔루션 ‘라이선스 사이퍼 게이트웨이’ 출시

[02/27] 야마하뮤직코리아, 40년 디지털 오디오 노하우 집약한 ‘MGX 시리즈’ 출시

로그인 | 이 페이지의 PC버전