0xNews - 윈도우와 리눅스를 공격하는 중국 RedGolf 그룹 공격 주의
0xNews - 윈도우와 리눅스를 공격하는 중국 RedGolf 그룹 공격 주의
Record Future 발표
https://www.recordedfuture.com/with-keyplug-chinas-redgolf-spies-on-steals-from-wide-field-targets
KEYPLUG 라는 윈도우와 리눅스 백도어로 KEYPLUG 라는 맞춤형 백도어 확인
중국 정부의 후원으로 움직이는 공격그룹으로 전세계의 다양한 산업체 대상으로 활동했을 가능성이 매우 높음
Log4Shell 이나 ProxyLogon 등 신규 보고 취약점을 신속하게 무기화 가능
이후 광범위한 맞춤형 맬웨어 제품군을 개발하고 공격한 이력을 가지고 있음
구글 산하 Manidant는 2021년 5월부터 2022년 2월 사이 미국 여러 주 정부 네트워크를 대상으로한 공격을 확인
이는 중국 APT41 그룹이 벌인 일이라 보이고 KEYPLUG 를 이용하여 공격한 것이라 처음으로 확인
2022년 10월 Malwarebytes 는 2022년 8월초 스리랑카의 정부기관을 대상으로 DBoxAgent 라는 새로운 임플란트를 활용
KEYPLUG 를 배포하는 별도의 공격세트를 확인하고 이를 보고
Malwarebyte 발표 사이트 링크
이렇게 2개의 공격 캠페인 모두 Winnti, 일명 APT41 에 기초를 두고 있음
이번에 발표한 RedGolf 와 밀점하게 행위가 겹치는 것을 확인
최근 RedGolf의 활동에 대한 특정 피해자는 관찰되지 않았음
하지만 이전에 보고된 사이버 스파이 캠페인과의 활동과 평가해 보자면 금전적인 이익보다는 정보 수집 목적으로 수행될 가능성이 높다고 평가
2021년부터 2023년 현재까지 공격 그룹이 사용한 KEYPLUG 샘플이나 운영 인프라, 코드명 GhostWolf 클러스터를 탐지하는 것 외 Cobalt Strike나 PlugX 와 같은 다른 공격 도구를 사용했음을 확인
GhostWolf 인프라는 KEYPLUG C&C command-and-control 기능을 수행하는 42개 IP 주소로 구성
적대 집단 또한 Cobalt Strike 나 PlugX의 통신 지점 역할을 하기 위해 종종 기술 테마를 특징으로 하는 전통적으로 등록된 도메인과 동적 DNS 도메인을 모두 사용하는 것으로 확인
RedGolf 는 계속해서 높은 운영 속도를 보여주고 대상 네트워크에 대한 초기 접속 권한을 획득하기 위해 외부 기업 어플라이언스 기기(VPN, 방화벽, 메일서버 등)에 대한 취약점을 신속하게 파악하여 무기화를 진행
또한 KEYPLUG와 같은 기존 도구에 추가하기 위해 새로운 맞춤형 맬웨어군을 계속 추가할 가능성이 매우 높음
RedGolf 공격을 방어하기 위해서는 조직이나 기업에서는 정기적으로 패치를 적용
외부에 연결된 네트워크 기기에 대한 접속을 모니터링
식별된 C&C 인프라를 추적하고 차단
맬웨어 탐지를 모니터링
침입 탐지나 방지 시스템을 구축하는 것이 좋음
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.