- 윈도우 서버 직접 공격, Neursite·NeuralExecutor·Cobalt Strike 활용해 침투

- 약 6개월 비활동 후 재개…정부·금융·산업 기관 표적

 

카스퍼스키는 정부, 금융, 산업 등 주요 기관의 윈도우 서버를 겨냥한 사이버 공격 ‘패시브뉴런(PassiveNeuron)’을 발견했다고 밝혔다. 이번 공격은 2024년 12월부터 활동을 시작해 2025년 8월까지 이어졌으며, 최근 새로운 공격 도구를 사용해 재개된 것으로 확인됐다.

 

주요 악성코드 도구는 Neursite, NeuralExecutor, Cobalt Strike 등 세 가지이며, 이 중 Neursite와 NeuralExecutor는 새롭게 확인된 모듈형 백도어 및 .NET 기반 임플란트다. 공격자는 이를 통해 내부망 측면 이동, 추가 페이로드 다운로드, 네트워크 통신 제어를 수행한다.

 

카스퍼스키 GReAT의 게오르기 쿠체린 연구원은 “PassiveNeuron은 서버를 직접 겨냥해, 하나의 서버가 침해되면 핵심 시스템 전체로 접근이 확대될 수 있다. 공격 표면 최소화와 지속적 모니터링으로 위협을 조기에 탐지·차단해야 한다”고 강조했다.

 

한국지사 이효은 지사장은 “정부·금융 등 주요 인프라의 서버 침해는 치명적 피해를 초래할 수 있다. PassiveNeuron의 정교한 공격과 국내 보안 인력 부족 상황을 고려하면, TI, EDR, 보안 교육을 통합한 다계층 방어 체계 구축이 필수적”이라고 밝혔다.

 

카스퍼스키 연구팀은 PassiveNeuron 샘플 코드에 키릴 문자가 사용된 점을 근거로 중국어 사용 위협 그룹 소행으로 추정하고 있다.

 

#사이버보안 #APT공격 #PassiveNeuron #윈도우서버 #카스퍼스키 #보안위협 #EDR #보안인식교육