최근 메사추세츠에 본사를 둔 레코디드 퓨처가 발간 한 보고서에서 “RedFoxtrot”로 추적하는 그릅과 중국 신강 우루무치에서 활동하는 中 인민해방군(PLA) 69010 부대 간 관련성을 확인했다고 밝혔다. 참고로 우루무치는 中 소수민족 자치구인 신강 위구르 자치구의 수도이다.
69010 부대는 과거 란저우에 위치한 인민해방군 제2기술정찰국으로, 현재 中 전략지원군 네트워크시스템부(NSD) 內 기술정찰국으로 알려져있다.
이와 관련 레코디드 퓨처는 인민해방군 69010부대와 RedFoxtrot와의 연계성을 익명의 RedFoxtrot 위협 행위자가 사용한 물리적 주소가 우한에 위치한 인민해방군 前 통신사령부 아카데미와도 관련이 있는 데서 찾았다.
RedFoxtrot는 중앙 아시아, 인도 및 파키스탄 전역의 정부, 국방 및 통신 부문을 표적으로 삼는 것으로 알려져 있으며, 지난 6개월 간 인도의 항공 우주 및 방위 계약 업체 3개와 인도, 아프가니스탄의 주요 ISP 업체 및 정부 기관에 대한 침입을 자행한 것으로 알려졌다.
보안 연구원들은 해당 공격이 발생한 기간은 인도와 中의 국경 긴장이 고조된 시기와 일치했으며, 특히 인도를 타겟으로 공격을 진행했다고 보고 있다.
RedFoxtrot는 PlugX, Royal Road RTF, Quickheal, PCShare, IceFog 및 Poison Ivy RAT를 포함하여 中 사이버 스파이 그룹에서 공유된 다양한 오픈 소스 및 비공개 소스 등을 사용했다.
이 밖에도 이들은 Axiomaticasymptote 인프라의 사용도 관찰되었는데, 이 인프라는 이전에 APT41를 비롯하여 다른 中 국가 배후 행위자들 간 공유가 된 것으로 공개된 바 있는 인프라다.
[출처 : TheHackerNews / 6.18.]
![[보안뉴스 / 3.29.] 콘텐츠 전문기업 리디, 서버 캐시 설정 오류로 고객 개인정보 유출](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-135120-500x383.png)
![[보안뉴스 / 3.29.] 트위터 소스코드 유출 사건, 어쩌면 거대한 보안 재앙의 신호탄 될 수 있어](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-134630-500x383.png)
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.