맬웨어 공격

中 사이버스파이 그룹 APT41의 조직 네트워크 인프라를 새롭게 매핑한 새로운 연구 발표에 따르면 코로나19를 주제로 한 피싱 문서를 사용하여

공격을 수행하는 국가 배후의 캠페인이 식별, 해당 공격이 매우 이질적인 멀웨어 공격과 연결되어 있음을 발견한 것으로 알려졌다.

 

이와 관련, 블랙베리 연구 및 인텔리전스팀은 보안매체 해커뉴스와 공유한 보고서에서는 이번 공격이 피해자들에게 팬데믹을 조속히 종식시키려는

사람들의 희망을 이용하는 국가 후원 캠페인이었다고 언급하며 공격자가 사용자의 PC에 침입한 후 네트워크 트래픽을 은닉하기 위한 작업을 실시하고 있다고 밝혔다.

APT41(Barium, Winnti)은 2012년까지 개인 이익을 위해 재정적인 동기를 가진 작업과 함께 국가가 후원하는 스파이 활동을 수행하는 中 사이버 위협 조직으로, 장기적인 접근을 통해 지적 재산 관련 탈취, 의료, 첨단기술 및 통신 부문을 공격하는 데 중점을 두고 있다고 알려진다.

또한 이 그룹은 소스코드 및 디지털 인증서 도용, 가상 통화 조작, 랜섬웨어 배포를 목표로 정상 소프트웨어 배포 전에 합법적인 파일에 악성코드를 삽입하여 소프트웨어 공급망 공격을 실시하는 것으로 알려져있다.

한 편, 블랙베리의 최신 연구는 2020년 3월 Mandiant社의 이전 연구 결과를 기반으로 하는데, 해당 연구에서는 Cisco 및 Citrix 장치에 영향을 미치는, 공개적으로 이미 알려진 여러 취약점을 악용한 공격 캠페인을 상세하게 분석하고 있다. APT41은 손상된 시스템에서 Cobalt Strike Beacon 로더를 다운로드 하는데, 해당 로더는 Beacon이 원격 서버와의 네트워크 통신을 피해자 네트워크에서 발생하는 합법적인 트래픽과 혼합되도록 명령 및 제어하는 것으로 알려져있다.

또한 블랙베리는 지난 3월 29일, 中 보안연구원이 가명 “1135”를 사용해 깃허브에 업로드한 유사한 C2 프로필을 발견했고 메타데이터 구성 정보를 사용, Beacon 트래픽을 합법적인 것처럼 위장하려는 APT41과 관련된 새로운 IP와 도메인 이름을 식별했다. 이는 APT 조직 Higaisa와 Winnti와 관련된 공격 캠페인에서 발견된 적 있는 것으로 전해진다.

이와 관련하여 보안연구원들은 국가 수준의 위협 조직들의 리소소를 분석하면 이들의 인프라에서 놀라운 수준의 다양성을 만들어내는 것이 가능하다고 언급하며 공개정보 공유를 통해 위협 행위자의 악의적인 활동을 결합함으로써 사이버 범죄자들이 은닉하기 위해 노력한 흔적들을 찾아낼 수 있다고 밝혔다.

 

[출처 : TheHackerNews / 10.5.]