0xNews - 윈도우와 리눅스를 공격하는 중국 RedGolf 그룹 공격 주의
0xNews - 윈도우와 리눅스를 공격하는 중국 RedGolf 그룹 공격 주의 Record Future 발표 https://www.recordedfuture.com/with-keyplug-chinas-redgolf-spies-on-steals-from-wide-field-targets KEYPLUG 라는 윈도우와 리눅스 백도어로 KEYPLUG 라는 맞춤형 백도어 확인 중국 정부의 후원으로 움직이는 공격그룹으로 전세계의 다양한 산업체 대상으로 활동했을 가능성이 매우 높음 Log4Shell 이나 ProxyLogon 등 신규 보고 취약점을 신속하게 무기화 가능 이후 광범위한 맞춤형 맬웨어 제품군을 개발하고 공격한 이력을 가지고 있음 구글 산하 Manidant는 2021년 5월부터 2022년 2월 사이 미국 여러 주 정부 네트워크를 대상으로한 공격을 확인 이는 중국 APT41 그룹이 벌인 일이라 보이고 KEYPLUG 를 이용하여 공격한 것이라 처음으로 확인 2022년 10월 Malwarebytes 는 2022년 8월초 스리랑카의 정부기관을 대상으로 DBoxAgent 라는 새로운 임플란트를 활용 KEYPLUG 를 배포하는 별도의 공격세트를 확인하고 이를 보고 Malwarebyte 발표 사이트 링크 https://www.malwarebytes.com/blog/threat-intelligence/2022/10/winnti-apt-group-docks-in-sri-lanka-for-new-campaign 이렇게 2개의 공격 캠페인 모두 Winnti, 일명 APT41 에 기초를 두고 있음 이번에 발표한 RedGolf 와 밀점하게 행위가 겹치는 것을 확인 최근 RedGolf의 활동에 대한 특정 피해자는 관찰되지 않았음 하지만 이전에 보고된 사이버 스파이 캠페인과의 활동과 평가해 보자면 금전적인 이익보다는 정보 수집 목적으로 수행될 가능성이 높다고 평가 2021년부터 2023년 현재까지 공격 그룹이 사용한 KEYPLUG 샘플이나 운영 인프라, 코드명 GhostWolf 클러스터를