APT 조직 Donot Team은 남아시아 정부 배후를 가지고 있는 것으로 의심되는 APT 조직으로, 주로 민감한 정보를 도용할 목적으로 인접 국가의 정부 기관을 대상으로 사이버 공격을 수행한다. 이 조직은 윈도우 및 안드로이드 플랫폼 모두를 공격할 수 있는 능력을 보유하고 있다.
최근 中 보안업체 치안신은 일일 위협 헌팅 중 Donot Team의 APT 공격을 포착했다. 연구원들의 분석에 따르면 이들의 공격은 아래와 같은 특징이 있다.
- 악성코드는 RTF 문서 파일에 내장, 파일이 열리면자동으로 %temp% 디렉토리에 저장된다.
- C2서버는 타사 웹사이트에서 호스팅된다.
- 여러 구성 요소를 사용하여 공격 능력이 이전보다 더 향상됐다.
한 편, Donot team이 공격에 사용한 RTF 문서에는 두개의 개체가 포함되어 있는데, 하나는 “Package”라는 이름으로, RTF 파일이 열리면 자동으로 %temp%\\syswow64.dll로 배포되고 다른 하나는 CVE-2017-11882 취약점을 트리거하는 데 사용되는 Equation 개체이다.
[출처 : 中 보안매체 / 11.23.]
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.