유럽 경찰청(Europol)이 주도한 '오퍼레이션 모르페우스'라는 공동 법 집행 작업을 통해, 사이버 범죄자들이 피해자 네트워크에 침투하는 데 사용한 코발트 스트라이크 서버 약 600개가 폐쇄되었습니다. 지난 6월 말 한 주 동안, 법 집행 기관은 범죄 활동과 관련된 알려진 IP 주소와 범죄 집단이 사용한 공격 인프라의 일부인 도메인 이름을 식별했습니다. 이어서, 온라인 서비스 제공자들에게 수집된 정보를 제공하여 라이선스가 없는 도구를 비활성화하도록 했습니다.
오퍼레이션 모르페우스는 호주, 캐나다, 독일, 네덜란드, 폴란드, 미국의 법 집행 기관이 참여하였으며, 영국의 국가 범죄청이 주도하였습니다. BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch, The Shadowserver Foundation과 같은 민간 산업 파트너들도 이번 국제 법 집행 작업에 지원을 제공하였습니다. 이들은 강화된 스캐닝, 원격 측정 및 분석 능력을 통해 사이버 범죄 캠페인에서 사용된 코발트 스트라이크 서버를 식별하는 데 도움을 주었습니다.
코발트 스트라이크는 10년 이상 전에 Fortra(이전의 Help Systems)에 의해 합법적인 상업 침투 테스트 도구로 출시되었으나, 위협 요소들이 소프트웨어의 크랙 버전을 획득하여 데이터 도난 및 랜섬웨어 공격에서 가장 널리 사용되는 도구 중 하나가 되었습니다. 공격자들은 코발트 스트라이크를 사용하여 공격 단계 후에 비콘을 배포하고, 이를 통해 침투된 네트워크에 지속적으로 원격 접속할 수 있는 비콘을 배포하고, 민감한 데이터를 도난하거나 추가 악성 페이로드를 투하합니다.
요약
- 유럽 경찰청(Europol)이 주도한 '오퍼레이션 모피우스'를 통해 사이버 범죄자들이 사용한 코발트 스트라이크 서버 약 600개가 폐쇄되었다.
- 오퍼레이션 모피우스는 여러 국가의 법 집행 기관과 민간 산업 파트너들의 협력으로 진행되었다.
- 코발트 스트라이크는 원래 합법적인 침투 테스트 도구로 출시되었으나, 현재는 사이버 범죄에서 가장 널리 사용되는 도구 중 하나이다.
- 공격자들은 코발트 스트라이크를 사용하여 침투된 네트워크에 지속적인 원격 접근을 제공하고 민감한 데이터를 도난한다.
- 이번 작업은 사이버 범죄에 대한 국제적인 대응을 보여주는 사례로, 앞으로도 이러한 협력이 계속될 것으로 예상된다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.