中 APT 조직이 최소 18개월 동안 지속된 공격 캠페인의 일환으로 대만 금융기관을 표적으로 삼은 것으로 드러났다.
시만텍이 지난주에 발표한 보고서에서, 스파이 활동을 목적으로 전개된 침투 공격으로 xPack이라는 백도어가 배포되어 공격자가 손상된 시스템을 광범위하게 제어할 수 있었다고 밝혔다.
이번 캠페인에서 주목할 만한 점은 위협 행위자가 피해자 네트워크에 상당 기간 은닉해있으며 공격자에게 자세한 정찰을 위한 충분한 기회를 제공하며 업무 관련 연락처 및 투자와 관련된 잠재적으로 민감한 정보를 유출할 수 있다는 것이다.
익명의 금융 기관 하나에서 공격자는 2020년 12월에서 2021년 8월 사이에 거의 250일을 머무르며 약 175일 간 네트워크를 감시한 것으로 드러났다. 공격 대상에 침투하는 데 사용된 초기 공격 도구는 아직 명확하지 않지만 Antlion이라는 위협행위자가 웹 애플리케이션 결함을 활용하여 침투 기반을 확보하고, xPack 사용자 지정 백도어를 삭제한 것으로 의심된다. 이 백도어는 시스템 명령을 실행하고 나면 후속 멀웨어 및 도구를 자체 삭제하며 데이터를 유출하는 것으로 알려져 있다.
이와 관련 연구원들은 Antlion은 적어도 2011년부터 첩보 활동에 가담한 것으로 추정되며 이번 최근 활동을 보면 처음 등장한 지 10년이 넘은 지금도 여전히 알 수 있는 위협행위자 라고 언급했다.
이번 연구 결과는 최근 몇 달 간 대만을 표적으로 삼은 중국과 연결된 공격 조직으로 분류되며 Tropic Trooper 및 Earth Lusca로 추적되는 위협행위자가 가한 악의적인 사이버 활동이 정부, 의료, 운송 및 교육기관을 공격한 사례와 관련이 있는 것으로 볼 수 있다.
[출처 : TheHackerNews / 2.6.]
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.