상세 컨텐츠

본문 제목

모바일에서 PC를 감염시키는 새로운 방식의 APT 공격 주의!

국내외 보안동향

by 알약(Alyac) 2018. 7. 18. 15:59

본문

최근 중국의 보안업체인 360은, APT-C-27 조직을 추적하던 중 새로운 공격 방식을 발견하였다고 밝혔습니다.


이 조직은 공격 타겟의 모바일을 감염시킨 후 모바일을 통해 사용자 PC에 RAT 공격을 진행합니다. 모바일을 통해 PC를 공격하는 첫번째 공격사례이기도 합니다. 



* APT-C-27(黄金鼠)


APT-C-27 이란 명칭은 중국의 보안업체인 360에서 명명하였습니다. 


이 공격조직은 2014년 처음 발견되었으며, 2014년 11월부터 지금까지 시리아 지역을 타겟으로 공격을 진행하는 APT 조직입니다. 



공격과정


1) 모바일 악성코드는 PC의 PE형식의 RAT 공격파일인 "hmzvbs"를 포함하고 있습니다. 


<이미지 출처 : http://blogs.360.cn/blog/analysis-of-apt-c-27/>


2) 모바일 악성코드는 실행된 후, 바로 PC를 타겟으로 하는 RAT 공격 파일인"hmzvbs"를 지정된 모바일의 외부 저장매체의 이미지 목록 하위에 특별한 이름으로 위장하여 저장합니다. 


이렇게 파일을 위장하는 것은 모바일 디바이스에서 PC를 공격하기 위한 특별한 준비 과정이며, 두 가지 특징을 갖습니다. 


첫번째, 공격파일명은 흔히 보이는 이미지 파일과 관련된 이름으로 위장합니다. 

두번째, 공격파일의 확장자는 ".PIF"로 설정합니다.(이는 MS-DoS 프로세스 바로가기 방식으로, 즉 PC에서 바로실행을 뜻합니다.)


<이미지 출처 : http://blogs.360.cn/blog/analysis-of-apt-c-27/>


3) 사용자가 비정기적으로 모바일을 PC에 연결하여 모바일에 있는 사진들을 보는 습관을 이용합니다. 만약 모바일 공격 타겟이 PC를 이용하여 모바일 내 사진을 옮길때, 사용자가 이렇게 "이미지 목록"을 위장하고 있는 클릭한다면 PE RAT 파일이 실행되며 PC는 악성 RAT의 공격을 받게되는 것입니다. 


<이미지 출처 : http://blogs.360.cn/blog/analysis-of-apt-c-27/>



APT-C-27 조직 특징


- 유창한 아랍어를 구사하며, 높은 조직력과 전문적인 능력을 갖춘 해커조직입니다. 

- 오랫동안 시리아 및 기타 주변 군사기구 및 정부기관을 타겟으로 공격을 진행해 왔습니다. 

- 스피어피싱 공격에 능하며, 소셜 네트워크나 SNS 앱 등으로 사용자들을 현혹하여 악성코드들을 유포합니다.  



현재 알약 및 알약M 에서는 해당 악성코드에 대해 Backdoor.DRAT.gen, Trojan.Android.AndroRAT로 탐지중에 있습니다.







출처 :

http://blogs.360.cn/blog/analysis-of-apt-c-27/

관련글 더보기

댓글 영역