중국과 관련된 APT 그룹, 동남아시아의 통신 회사들 노려

 

 

China-linked APT groups target telecom companies in Southeast Asia

 

Cybereason의 연구원들이 중국과 관련된 공격자들이 2017년 이후로 동남아시아에 위치한 주요 통신사들 5곳의 네트워크를 공격한 활동 클러스터 3건을 발견했다고 밝혔습니다.

 

Cybereason은 보고서를 통해 아래와 같이 밝혔습니다.

 

“이러한 침입의 배후에 있는 공격자의 목표는 통신사에 대한 지속적인 접근 권한을 얻어 오랫동안 유지하고, 사이버 스파잉 활동을 통해 중요한 정보를 수집하고 통화 세부 정보 기록(CDR) 데이터를 포함한 빌링 서버와 도메인 컨트롤러, 웹 서버, 마이크로소프트 익스체인지(Microsoft Exchange) 서버 등 핵심 네트워크 컴포넌트를 포함한 중요한 비즈니스 자산을 해킹하는 것이었습니다.”

 

이 클러스터 3개는 Soft Cell(Gallium), Naikon APT(APT30 또는 Lotus Panda), TG-3390(APT27 또는 Emissary Panda)로 알려진 중국 관련 APT 그룹과 관련이 있는 것으로 드러났습니다.

 

아래는 각 클러스터의 자세한 정보입니다.

 

클러스터 A: 이 클러스터와 관련된 활동은 Soft Cell에서 운영하고 2018년 시작되어 2021년 1분기까지 계속되었습니다.

클러스터 B: 이 클러스터와 관련된 활동은 Naikon APT에서 운영하고 2020년 4분기에 처음 발견되었으며 2021년 1분기까지 계속되었습니다.

클러스터 C: Cybereason은 이 클러스터를 Microsoft Exchange 및 IIS 서버 다수에 사이버스파이가 배포한 고유한 OWA 백도어가 있는 "미니 클러스터"로 분류했습니다. 백도어 분석을 통해 Group-3390(APT27/Emissary Panda)이 수행한 캠페인에 사용된 백도어인 Iron Tiger와 많은 유사성을 발견했습니다. 이 클러스터와 관련된 활동은 2017년과 2021년 1분기 사이에 관찰되었습니다.

 

 

<이미지 출처 : https://www.cybereason.com/blog/deadringer-exposing-chinese-threat-actors-targeting-major-telcos>

 

 

공격자는 HAFNIUM과 같이 탐지를 피하기 위해 많은 노력을 기울였으며, 마이크로소프트 익스체인지 서버에 존재하는 ProxyLogon 취약점을 통해 타깃 네트워크에 접근할 수 있었습니다.

 

“이후 그들은 DC(도메인 컨트롤러) 및 CDR(통화 세부 정보 기록) 데이터와 같은 아주 민감한 정보를 포함하는 빌링 시스템과 같은 중요한 네트워크 자산을 해킹해 영향을 받는 통신 서비스를 사용하는 모든 사용자의 민감 통신에 접근할 수 있었습니다."

 

Naikon APT는 “Nebulae”로 알려진 백도어를 사용했습니다. 이는 LogicalDrive 정보 수집, 파일 및 폴더 조작, C&C 서버에서 파일 다운로드 및 업로드, 해킹된 기기의 프로세스 나열/실행/종료 등 일반적인 백도어 기능을 지원합니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Agent.Fakntor', 'Gen:Variant.Ursu.65046', 'Gen:Variant.Razy.687228' 등으로 탐지 중입니다. 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120765/apt/china-linked-apt-groups-asian-telecos.html

https://www.cybereason.com/blog/deadringer-exposing-chinese-threat-actors-targeting-major-telcos