Bronze President APT 그룹, 아시아 남부 및 중부 노려

China-based Bronze President APT targets South and East Asia

Secureworks CTU의 연구원들은 Bronze President APT 그룹이 실행하는 사이버 간첩 캠페인을 발견했습니다.

 

중국에 기반을 둔 이 그룹은 최소 2014년 말부터 활동한 것으로 추정되며, 아시아 내 정치조직과 법 집행기관, NGO를 타깃으로 합니다. 

이들은 타깃 네트워크를 해킹하기 위해 맞춤형 원격 접속 툴과 공개적으로 얻을 수 있는 원격 접속 및 해킹 툴을 사용했습니다.

일단 네트워크 해킹에 성공하면, 공격자들은 그들의 권한을 상승시키고 시스템에 악성코드를 유포합니다. 이후 특정 파일 유형을 수집하고 탐지를 최소화하기 위한 커스텀 배치 스크립트를 실행합니다.

공격자들은 공개적으로 얻을 수 있는 오픈소스 툴을 사용함으로써 추적을 막으려 시도한 것으로 보입니다.

타깃 네트워크에 접근할 경우 공격자들은 자신의 권한을 상승시키고 시스템에 악성코드를 설치합니다. 이 악성코드는 커스텀 배치 스크립트를 통해 .pptx, .xlsx, .pdf와 같은 특정 파일 타입을 수집하고 자신의 존재를 숨기려 시도합니다.

공격자는 높은 권한을 가진 네트워크 계정 및 SNS, 웹 메일 등 평판이 중요한 계정의 크리덴셜을 훔치려 시도합니다.

연구원들은 공격자가 해킹된 네트워크에 오랜 기간 동안 상주하려 시도한다는 점을 지적했습니다.

BRONZE PRESIDENT는 몽골 및 인도를 포함한 중국과 인접한 국가의 단체를 노렸습니다. 

이들은 스피어 피싱 메시지를 통해 동아시아, 남아시아, 동남아시아에서 국가 안보, 인도주의, 법 집행 기관에 관심을 보이는 개인 및 조직을 공격했습니다.

전문가들은 아래 내용을 근거로 이 그룹이 중국 정부와 관련이 있다고 추측했습니다.

• BRONZE PRESIDENT의 인프라가 중국 내 기관과 연관이 있습니다.
• 이 그룹의 운영 인프라의 서브셋과 중국 기반 ISP와 여러 연결점이 있습니다.
• 중국과 연결된 공격자들이 진행한 캠페인 다수에 사용된 것으로 잘 알려진 툴인 PlugX를 사용했습니다.

이 그룹의 TTP를 살펴본 결과 국가의 지원을 받는 매우 체계적인 그룹인 것으로 추측됩니다.

“Bronze President는 Cobalt Strike, PlugX, ORat, RCSession과 같은 툴을 이용하여 조직으로부터 데이터를 훔치려 시도했습니다.”

“한 번의 침입에 이렇듯 많은 툴을 사용한 것으로 보아 이 그룹은 분명한 전술, 역할, 툴 선호도를 가진 공격자를 포함하고 있는 것으로 추측됩니다.”

출처:

https://securityaffairs.co/wordpress/96091/apt/bronze-president-spies-asia.html

https://www.secureworks.com/research/bronze-president-targets-ngos