이번에 밝혀진 공격은 잘 알려진 APT 조직에 의해 수행되었으며 정부를 표적으로 사이버 스파이 활동을 수행한 것으로 의심된다.

보안업체 직원의 분석 결과, 고객 인프라 파일에 대한 대규모 암호화 및 몸값 요구 사항이 조사의 시작점이었다. 공개된 많은 수의 손상된 파일은 공격의 명백한 지표이자 침입을 탐지하는 데 사용될 수 있다. 분석에 따르면 고객 인프라는 최근 3~4일 전(또는 대규모 공격에서 자주 발생하는 것처럼 몇 시간 전)에는 손상되지 않아보였으나 공격은 2018년 초 처음으로 발생한 것으로 알려졌다.

분석에 따르면 해외 사무실 네트워크의 초기 진입점이 네트워크의 취약한 서버라고 여겨진다. 2018년 2월, ChinaChopper, TwoFace 웹셸을 통해 공격자는 초기 액세스 권한을 얻고 지속성을 확보했다.

보안업체 직원의 APT 해킹 조사

공격 타임라인은 아래 그림을 참고.

보안업체 직원의 APT 해킹 조사

[출처 : PTsecurity / 11.27.]