적극적으로 활용하는 ‘코발트 스트라이크’
블랙베리(BlackBerry Limited)는 금년 블랙베리 시큐리티 서밋(Security Summit) 행사에서 위협 행위자들이 가장 많이 사용하는 도구인 코발트 스트라이크 비콘(Cobalt Strike Beacon)의 진화와 보급에 대해 자세히 다룬 신간 <어둠 속에서 비콘 찾기: 사이버 위협 인텔리전스 가이드>를 발표했다. 이 책에서는 악성 코발트 스트라이크 페이로드로부터 보호하는 방법, 강력한 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI) 라이프사이클과 확장된 XDR 솔루션이 어떻게 위협을 차단하는지 설명한다.
모의 해킹을 위해 처음 만들어진 코발트 스트라이크는 국가의 지원을 받는 APT그룹과 사이버 용병 단체가 선호하는 가장 끈질긴 공격 방법으로 진화했다. 이 책은 많은 기관이 직면하는 위협은 물론, 방어 프레임워크와 이전의 사이버 공격과의 숨은 연관성에 대해서도 자세히 설명한다.
코발트 스트라이크는 레드팀에서 널리 사용되고 있으며 유연하고 접근성이 높아 사이버 범죄자들이 선호하는 공격 도구이다. 이 소프트웨어는 풍부한 기능을 제공해 다양한 공격 방법을 실행할 수 있어 국가적 지원을 받는 단체가 많이 선호한다. 이 소프트웨어는 또 최근 1년여 동안 기승을 부린 랜섬웨어 공격에도 적극적으로 활용되었다.
사이버 범죄자뿐만 아니라 기업에서도 기존의 멀웨어 및 관련 도구를 언더그라운드 포럼에서 구입하는 것이 인하우스 기술을 개발하는 것보다 비용면에서 훨씬 저렴해 수사 기관에서 추적하기 어려운 코발트 스트라이크가 이상적으로 사용된다. 특히 사이버 용병 단체가 거대한 국가 단체의 배후에 있을 때 더 복잡해 추적하기 어렵다.
블랙베리 리서치 앤 인텔리전스 부사장 에릭 밀람(Eric Milam)은 “코발트 스트라이크는 사이버 범죄자에게 완벽에 가까운 소프트웨어로, 잘 구축된 툴이 사이버 범죄에 도움이 되지만 또 사이버 범죄를 증가시킬 수도 있다는 보안 분야의 핵심 난제를 짚는다”며 ”코발트 스트라이크는 기능이 풍부하고 개발자들이 적극적으로 지원하고 있어 그 페이로드가 공격자에게 여러 기능을 제공해 APT 그룹과 초보 사이버 범죄자에게 매력적인 선택지가 되었다”고 말했다.
사이버 범죄 단체에서의 코발트 스트라이크의 활용 증가뿐만 아니라 APT 그룹에서의 지속적인 사용도 우려의 여지가 있다. 얼마 전에는 APT41 그룹이 인도 시민을 겨냥한 피싱 이메일에서 이 소프트웨어를 사용한 것이 목격되었으며, 드리덱스(Dridex) 운영자는 최근 피싱 및 악성 스팸 캠페인에 코발트 스트라이크를 적극 활용했다.
블랙베리 제품 총괄 부사장 빌리 호(Billy Ho)는 “이 책은 보안 커뮤니티에 블랙베리가 코발트 스트라이크를 찾기 위해 개발한 자동화 시스템과 가장 중요한 결과적 데이터세트로부터 의미 있는 위협 인텔리전스를 발견하는 방법 등 블랙베리의 지식을 공유하기 위해 작성되었다”며 “이 정보는 위협 단체와 캠페인에 인사이트 및 트렌드, 그리고 인텔리전스를 제공할 것”이라고 내다봤다.
블랙베리의 <어둠 속에서 비콘 찾기: 사이버 위협 인텔리전스 가이드>는 11월 출간된 예정으로, 웹사이트에서 선주문할 수 있다.
