openLab

0xNews - 윈도우와 리눅스를 공격하는 중국 RedGolf 그룹 공격 주의 Record Future 발표 https://www.recordedfuture.com/with-keyplug-chinas-redgolf-spies-on-steals-from-wide-field-targets KEYPLUG 라는 윈도우와 리눅스 백도어로 KEYPLUG 라는 맞춤형 백도어 확인 중국 정부의 후원으로 움직이는 공격그룹으로 전세계의 다양한 산업체 대상으로 활동했을 가능성이 매우 높음 Log4Shell 이나 ProxyLogon 등 신규 보고 취약점을 신속하게 무기화 가능 이후 광범위한 맞춤형 맬웨어 제품군을 개발하고 공격한 이력을 가지고 있음 구글 산하 Manidant는 2021년 5월부터 2022년 2월 사이 미국 여러 주 정부 네트워크를 대상으로한 공격을 확인 이는 중국 APT41 그룹이 벌인 일이라 보이고  KEYPLUG 를 이용하여 공격한 것이라 처음으로 확인 2022년 10월 Malwarebytes 는 2022년 8월초 스리랑카의 정부기관을 대상으로 DBoxAgent 라는 새로운 임플란트를 활용 KEYPLUG 를 배포하는 별도의 공격세트를 확인하고 이를 보고 Malwarebyte 발표 사이트 링크 https://www.malwarebytes.com/blog/threat-intelligence/2022/10/winnti-apt-group-docks-in-sri-lanka-for-new-campaign 이렇게 2개의 공격 캠페인 모두 Winnti, 일명 APT41 에 기초를 두고 있음 이번에 발표한 RedGolf 와 밀점하게 행위가 겹치는 것을 확인 최근 RedGolf의 활동에 대한 특정 피해자는 관찰되지 않았음 하지만 이전에 보고된 사이버 스파이 캠페인과의 활동과 평가해 보자면 금전적인 이익보다는 정보 수집 목적으로 수행될 가능성이 높다고 평가 2021년부터 2023년 현재까지 공격 그룹이 사용한 KEYPLUG 샘플이나 운영 인프라, 코드명 GhostWolf 클러스터를

0xNews - 북한 APT43그룹의 사이버 범죄를 통한 자금 조달 확인 구글 산하 Mandiant 발표 https://www.mandiant.com/resources/reports/apt43-north-korea-cybercrime-espionage APT43그룹은 북한 평양의 이익에 부합하는 전략적 정보 수집을 위한 공격 캠페인 수행 스파이 활동과 금전적인 이익을 위한 활동이 그 핵심 자격 증명 수집이나 사회공학적 해킹과 같은 기술을 통해 목표 달성 전략적 정보 수집의 주요 임무를 달성하기 위해 자금을 충족하려고 함 주로 한국과 미국, 일본, 유럽의 정부, 교육기관, 연구기관, 정책기관, 비즈니스 서비스와 제조 부문을 대상으로 공격 수행 2020년 10월부터 2021년 10월까지는 헬스 관련 업종이나 제약 회사를 주요 공격 대상으로 함 하지만 이후 대상 목표를 변경하는 것으로 보아 우선 순위를 신속하게 변경이 가능함을 확인 발표한 연구원은 APT43은 북한 정권의 이익을 지원하는 다작하는 사이버 운영자라고 밝힘 해당 그룹은 한반도의 지정학적 문제에 대해 초점을 맞춘 한국과 미국 기반 정부 기관과 학계, 싱크 탱크에 대한 사회공학적 해킹과 전술을 정교한 기술 능력과 합쳐서 공격적으로 수행 APT43은 북한의 대외정보기관인 정찰총국 RGB Reconnaissance General Bureau 와 일치하는 것으로 알려져 있음 또한 많이 알려진 김수키 kimsuky 라고 불리는 또다른 해킹 그룹과 비교하면 공격기법이나 전술적인면에서 많이 중복된 것으로 나타남 라자루스 그룹 Lazarus Group 와 같이 이전에는 RGB 내 다른 하위 그룹에서 사용되는 도구를 사용하는 것 또한 관찰 APT43이 보유한 공격 체인 방법은 피해자를 유인하기 위한 맞춤형 미끼가 포함된 스피어 피싱 이메일 spear-phishing emails 포함 이메일 메시지는 신뢰를 얻기 위해 대상의 전문분야나 특정 개인으로 위장하여 스푸핑이나 사기성 페르소나를 사용하여 전송 또한 다양한 경로로