0xNews - 중국 해커가 페이스북을 이용하여 해외 거주 위구르족 대상 해킹 수행
0xNews - 중국 해커가 페이스북을 이용하여 해외 거주 위구르족 대상 해킹 수행
페이스북 사이버 조사 책임자와 보안 정책 담당관 발표
https://about.fb.com/news/2021/03/taking-action-against-hackers-in-china/
페이스북은 중국 내에서 사용은 금지될 수 있음
하지만 중국 외 거주자 대상 위그르족 커뮤니티를 대상으로 기기를 감시할 수 있는 악성 소프트웨어를 다운로드 하도록 유인
터키, 카자흐스탄, 미국, 시리아, 호주, 캐나다 등 기타 국가에 거주하는 중국 신장 출신 위구르인 중 활동가나 언론인, 반체제 인사를 대상으로 함
이번에 발견된 공격 그룹은 다양한 사이버 스파이 전술을 사용
표적을 식별하고 기기에 악성 코드로 감염 시켜 감시를 활성화
이번 공격은 중국 기반 집단인 Evil Eye 혹은 Earth Empusa 로 알려진 위협 행위자
풍부한 자원을 대상으로 지속적인 공격을 수행
2019년 8월부터 이미 공격하여 손상된 웹 사이트를 통해 지메일 Gmail 계정에 접속하여 Android, iOS 기기를 공격
유럽연합, 미국, 영국, 캐나다 등 중국 신장 위구르인에 대한 인권 침해에 대해 중국의 여러 고위 관리들에 대한 제재를 발표한 몇일 후 공개
https://www.bbc.com/news/world-europe-56487162
Evil Eye 는 언론인, 학생, 인권 운동가, 위구르족 커뮤니티 구성원으로 위장
악의적인 링크를 클릭하도록 유도
이를 위해 대상자와 신뢰 관계를 구축하여 악의적인 의도를 숨기고 다양한 각도로 접근
이런 사회공학적 노력 외 특정 기술 수준에 따라 iPhone 사용자 대상으로 선택적으로 공격
이를 위해 정상적이지만 손상된 웹 사이트나 인기 있는 위구르어, 터키 뉴스 사이트의 유사 도메인을 맬웨어 감염 웹 사이트 전파로 활용
분석 결과 이런 손상된 웹 사이트 중 일부는 이전에 보고된 익스플로잇과 유사한 악성 자바 스크립트 코드가 포함
INSOMNIA 로 알려진 iOS 악성 코드를 이용
그 외 Evil Eye 는 타사 안드로이드 앱 스토어와 닮은 설정을 이용
두 개의 안드로이드 악성 코드 변종 배포를 위한 도관으로 활용
키보드 앱, 무슬림 기도앱, 사전 앱 등을 이용하여 위구르어 테마로 응용 프로그램에 트로이 목마 ActionSpy 와 PluginPhantom 등을 넣어서 감염 유도
TrendMicro 에서 발표한 ActionSpy 분석 링크
Paloalto 에서 발표한 PluginPhantom 분석 링크
안드로이드 맬웨어 계열에 대해 분석 결과 중국 기업 Beijing Best United Technology Co., Ltd. (Best Lh)와 Dalian 9Rush Technology Co., Ltd. (9Rush) 등에 연결된 것으로 확인
이와 같이 중국에 기반을 둔 기업들은 다양한 수준의 운영 보안을 갖춘 방대한 공급 네트워크 중 일부일 가능성이 높다고 판단
페이스북은 해당 악성 도메인이 플랫폼에서 공유되는 것을 차단
공격하는 계정 비활성화
공격자의 대상이 된 약 500여명의 사람들에게 경고 전달
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.