<aside>
<img src="/icons/reorder_green.svg" alt="/icons/reorder_green.svg" width="40px" /> **Home • Posts • About Me • Pages • Contact Me**
</aside>
시리즈 연재
<aside>
🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Turla: Metasploit Framework를 활용한 고급 침투 및 C2 인프라 구축
</aside>
목차
APT28(Fancy Bear)은 러시아 GRU(총정보국)와 강력한 연관성을 가진 것으로 널리 알려진 정교한 사이버 위협 행위자입니다. Sofacy, Sednit, Pawn Storm과 같은 다양한 이름으로도 알려진 이 고도화된 지속적 위협(APT) 그룹은 전 세계 정부, 군사 조직 및 기업을 대상으로 오랜 기간 동안 사이버 스파이 활동에 관여해 왔습니다.
10년 이상 전에 처음 확인된 APT28은 적응력, 고도화된 기술 및 지정학적 동기로 인해 사이버 보안 영역에서 여전히 강력한 위협으로 남아 있습니다. 이들의 고도로 전략적인 목표에 대한 집중은 국가 지원 위협 행위자 중에서도 두드러진 존재임을 강조합니다. 효과적인 방어를 위해서는 이들의 전술, 기술 및 절차(TTP)를 깊이 이해하는 것이 필수적입니다.
| 항목 | 내용 |
|---|---|
| 그룹명 | APT 28, Fancy Bear, Sofacy, STRONTIUM |
| 활동 시기 | 2004년 또는 2007년 ~ 현재 |
| 주요 대상 | 정치, 군사, 전략적 정보 수집을 주요 목표로 삼아 전 세계 정부, 군사 기관, 국방 산업체, 에너지 부문, 언론사, 국제기구 등을 대상으로 지속적인 사이버 첩보 활동 및 정보 작전을 수행 |
| 추정 배후 | 러시아 연방 참모본부 정보총국(GRU) |
| 공격 특징 | 자체 개발한 정교한 악성코드(예: XAgent, Zebrocy, Jaguar Tooth)와 더불어, 잘 알려진 오픈소스 도구들을 공격 전 과정에 걸쳐 적극적으로 활용하는 하이브리드 전략을 구사 |