APT31, 광범위한 사이버 스파이 공격에 새로운 스파이웨어 사용해

 

 

New Chinese Spyware Being Used in Widespread Cyber Espionage Attacks

 

새로운 연구에 따르면, 감염된 시스템에 RAT을 배포하는 것으로 알려졌으며, 2021년 1월부터 7월까지 몽골, 러시아, 벨로루시, 캐나다, 미국을 노린 공격 10건이 중국 출신으로 추정되는 공격자의 작업일 가능성이 높은 것으로 나타났습니다.

 

이 사건은 FireEye는 APT31, Microsoft는 Zirconium, CrowdStrike는 Judgement Panda, Secureworks는 Bronze Vinewood로 명명한 APT 그룹의 작업인 것으로 추정됩니다.

 

FireEye는 해당 그룹에 대해 아래와 같이 밝혔습니다.

 

“이 그룹은 주로 중국의 정부 및 국유 기업에 정치적, 경제적, 군사적인 이득을 줄 수 있는 정보를 얻는데 집중하는 중국과 관련된 사이버 스파이 공격자입니다.”

 

Positive Technologies는 지난 화요일 발표된 보고서에서 C2 서버에서 백도어로 복호화되는 다음 단계의 페이로드를 검색하는 등 공격을 용이하게 하는데 사용된 새로운 악성코드 드롭퍼에 대해 공개했습니다.

 

이 악성코드는 다른 악성코드를 다운로드할 수 있는 기능을 포함하고 있어 피해자를 추가적인 위협에 빠트리고 해킹된 기기에서 파일 작업을 수행하고, 민감 정보를 추출하고, 자기 자신을 삭제하는 것도 가능합니다.

 

 

<이미지 출처 : https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/apt31-new-attacks/>

 

 

Positive Technologies의 연구원인 Denis Kuvshinov와 Daniil Koloskov는 이에 대해 아래와 같이 밝혔습니다.

 

“자가 삭제 명령을 수행하는 코드는 특히 흥미롭습니다. 생성된 모든 파일과 레지스트리 키는 bat 파일을 통해 삭제됩니다.”

 

또한 이 악성코드가 작년에 동일한 위협 그룹이 사용했던 C2 통신에 드롭박스를 사용한 DropboxAES RAT이라는 트로이목마와 유사하다는 점도 주목할 가치가 있습니다. 공격 코드 삽입, 지속성 달성, 감시 툴 제거 등에 사용되는 기술과 메커니즘에서 수 많은 유사성이 발견되었습니다.

 

“악성 샘플의 이전 버전과 유사성이 발견된 것으로 보아 해당 그룹은 증가하는 행동이 탐지될 수 있는 국가, 특히 러시아로 관심 지역을 확장시키고 있다는 것을 알 수 있었습니다.”

 

 

 

 

출처:

https://thehackernews.com/2021/08/new-chinese-spyware-being-used-in.html

https://www.fireeye.kr/current-threats/apt-groups.html

https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/apt31-new-attacks/