상세 컨텐츠

본문 제목

아직까지 활발히 활동하는 중국 APT15의 새로운 악성코드인 MirageFox 발견 돼

국내외 보안동향

by 알약(Alyac) 2018. 6. 19. 15:26

본문

China-Linked APT15 is still very active, experts found its new malware tracked as ‘MirageFox’


보안 연구원들이 중국과 관련 된 APT그룹인 APT15의 최근 활동에 대한 증거를 발견했습니다.


APT15 그룹 (Ke3chang, Mirage, Vixen Panda, Royal APT, Playful Dragon로도 알려짐)이 이전 작업 시 사용했던 툴의 코드를 차용한 새로운 악성코드를 개발했습니다.


APT15는 적어도 2010년부터 활동해 왔으며, 전 세계의 국방, 첨단 기술, 에너지, 정부, 우주 항공, 제조업 분야에 대해 사이버 간첩 캠페인을 실시했습니다. 공격자들은 수 년에 걸쳐 공격을 정교화해왔습니다. 그들은 공격 시 커스텀 악성코드와 다양한 익스플로잇을 사용했습니다.


지난 수 년 동안, Mirage, BS2005, RoyalCLI, RoyalDNS, TidePool, BMW, MyWeb 등 APT15와 관련 된 많은 해킹 툴들이 확인 되었습니다.


그리고, 연구원들은 최근 APT15와 관련 된 새로운 악성코드를 발견했습니다. 이는 연구원들이 Mirage 악성코드와 Reaver 악성코드를 검색하던 중 발견 되었습니다.


연구원들은 “최신 캠페인에 참여한 악성코드인 MirageFox는, 2012년 발견 된 RAT인 Mirage의 업그레이드 버전인 것으로 보입니다.”라고 밝혔습니다.


새로운 악성 코드는 컴포넌트들 중 하나에서 Mirage와 Reaver의 코드를 차용했기 때문에, MirageFox라 명명 되었습니다.


오리지널 Mirage 악성코드는 원격 쉘 및 C&C 구성 데이터를 복호화하는 기능을 포함하고 있습니다.


<이미지 출처 : https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/>


연구원들은 “MirageFox의 기능은 APT15가 만든 이전 악성코드들과 유사합니다. 먼저 계정명, CPU 정보, 아키텍쳐 등과 같은 컴퓨터 관련 정보를 수집합니다.”


“그런 다음, 이 정보를 C&C로 보내고, 백도어를 오픈하고 C&C에서 명령이 오기를 기다립니다. 이 명령에는 파일 변조, 프로세스 시작, 자체 종료 및 APT15의 RAT에 일반적으로 나타나는 많은 기능들이 포함됩니다.”고 밝혔습니다.


이 악성코드는 DLL 하이재킹을 통해 정식 McAfee 바이너리를 이용해 악성 프로세스를 로드합니다.


또한 전문가들은 C&C 서버가 내부 IP 주소로 구성 되어 있어 이 샘플은 조직을 노리기 위해 구성되었다는 것을 알 수 있다고 말했습니다.


“복호화 된 구성을 살펴 보면, C&C에 사용되는 IP가 내부 IP주소라는 것을 알 수 있습니다. RoyalAPT와 관련 된 보고서에 따르면, APT15는 VPN 개인 키를 훔친 후 조직에 또 다시 조직에 침투했습니다. 따라서 이 버전은 이미 침투한 조직을 공격하기 위해 맞춤형으로 만들어졌으며, VPN을 사용하는 내부 네트워크에 연결합니다.”


아직까지 공격 벡터는 밝혀지지 않았습니다.


현재 알약에서는 해당 악성코드에 대해 Backdoor.Agent.MirageFox, Backdoor.Agent.Mirage,

Backdoor.RoyalAPT로 탐지중에 있습니다. 




출처 : 

https://securityaffairs.co/wordpress/73636/apt/apt15-miragefox-malware.html

https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/




관련글 더보기

댓글 영역