남아시아는 APT 공격이 활성화된 지역으로, 지난 2013년 해외 보안업체인 Norman社가 최초로 남아시아 APT 공격을 공개한 이래로 이 지역에서 다양한 이름으로 명명된 APT 조직이 지속적으로 등장했다. APT-C-09(HangOver, Patchwork), APT-C-08(Bitter), APT-C-35(Donot), APT-C-17(Sidewinder) 등이 여기에 해당한다.

이들을 남아시아 공격조직으로 귀속시키는 주요 원인은 언급한 APT 조직들 대부분이 유사한 공격 페이로드를 사용하고 이들이 사용하는 다양한 공격 무기가 일치성을 보인다는 점이다. 그러나 .Net, Delphi, AutoIt, Python, Powershell, Go 언어 등 다양한 언어로 개발된 공격 도구들은 원 저작자를 찾아내기 어렵게 한다. 그럼에도 보안업체는 남아시아 공격 조직의 아래와 같은 공통점을 발견하게 되었다.

  • 윈도우, 안드로이드 플랫폼을 동시에 공격할 수 있는 능력을 보유
  • 파키스탄이 이들의 주요 표적이다 일부 조직은 중국을 공격
  • 정부, 군사 등 영역이 공격 주요 대상. 미끼 문서의 대부분은 정세와 관련된 핫이슈들로 이루어짐

최근 中 보안업체 치안신은 위협 헌팅 중 남아시아 APT 조직의 최근 공격 활동을 식별했다. 이 조직은 악의적인 RTF 템플릿으로 취약점을 악용, 주변국에 대한 여러 공격을 수행한 것으로 알려졌다. 치안신 보안 연구원들의 추적 분석에 따르면 이번에 식별된 공격은 다음과 같은 특성을 가지고 있다.

  • 이 공격에서 공격자는 이전에 공개된 Donot 조직과 유사한 공격방법, 즉 RTF 형식 문서를 사용하여 악성 파일을 다운로드, 이를 통해 백신 소프트웨어를 우회함
  • 사용된 미끼 문서를 통해 분석한 결과 아프가니스탄 지역을 겨냥한 것으로 추정
  • 이번 공격은 여러 단계를 거쳐 최종적으로 MMCore 백도어를 사용
남아시아 APT 조직 Donot의 아프간 군 철수를 미끼로 한 공격 활동 분석 보고 발표

[출처 : 치안신 / 7.19.]