0xNews - 동남아시아 공공 기관을 노리는 중국 스파이 캠페인 발견
0xNews - 동남아시아 공공 기관을 노리는 중국 스파이 캠페인 발견
Checkpoint 발표
이번 공격 캠페인은 과거 알려지지 않은 백도어를 사용
피해자 컴퓨터에 설치하기 위해 분석 방어와 디버깅 방어 anti-analysis and anti-debugging 최신 기술과 함께 MS Ooffice 익스플로잇과 로더 세트를 활용
감염 체인은 infection chain 공공 기관 내 다른 실체를 사칭하는 피싱 문서를 여러 외무부 구성원에게 전송
이 문서를 열면 공격자의 서버에서 접속하여 암호화된 다운로더가 포함된 다음 단계의 페이로드를 검색
다운로더는 차례로 시스템 정보를 수집하고 원격 서버로 추출 정보 전달 후 쉘코드 로더로 응답
합법적으로 보이는 공식문서로 위장한 무기화된 사본을 사용
이는 먼저 공격자들이 공격 대상 국가 내 다른 부서를 공격하여 외무부에 사용할 문서를 훔치고 무기화해야 함
마지막으로 로더가 원격 서버와의 연결을 설정하여 파일 작업을 수행
스크린샷 캡처, 프로세스 생성과 종료, VictoryDll_x86.dll 이라는 강제 종료하는 임플란트 다운로드 등 수행
2017년 개발하여 공격을 수행한 이후 여러 차례 인프라를 변경하여 활동을 숨기는데 상당한 노력을 기울였으며 백도어 탐지를 못하게 하기 위해 상당한 수고를 한 것으로 분석
2018년 중국에서 VirusTotal 에 업로드된 백도어의 테스트 버전을 기반으로 SharpPanda 라 불리는 중국 APT Advanced Persistent Threat 그룹에서 만든 코드와 중간 레벨에서의 높은 신뢰로 수준으로 medium to high confidence 비슷한 것으로 평가
2018년말부터 중국 위협 그룹에서 시작된 공격 캠페인에서 사용된 도구인 Royal Road RTF 무기화하여 사용
연구팀은 C2 Command-and-Control 서버가 UTC 01:00~08:00 사이에만 페이로드가 반환한다는 사실을 포함하여 몇가지 다른 근거자료를 통해 중국 해커 그룹 중 하나로 지목
해당 국가의 근무 시간과도 일치
중국 노동절 공휴일과 일치하는 5월 1일~5일까지 C2서버에서 페이로드가 반환하지 않았음을 확인
이번 분석을 통해 모든 증거자료가 검색 범위 아래에 머물러서 검색과 탐지가 되지 않았음을 지적
이를 회피하기 위한 상당한 노력을 기울이는 고도로 조직화된 작전과 같음을 함께 지적
중국 해커 그룹 정보를 취합해 보면 공격자들은 접근 방식이 매우 체계적
공격자들은 콜드 데이터 외 대상의 개인용 컴퓨터에서 순간적으로 일어나는 일에도 관심이 높은 실시간 스파이 활동 형태로 발전
동남아 정부와 공공 기관은 이를 바로 차단할 수 있지만 공격 그룹이 타 국가에 공격 캠페인을 행사하기 전 테스트 형태로 다양하게 공격하는 것으로 파악
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.