중국의 "Override Panda" 해커들, 새로운 간첩 공격으로 돌아와

Chinese "Override Panda" Hackers Resurface With New Espionage Attacks

 

중국 정부의 지원을 받는 것으로 알려진 Override Panda스파이 그룹이 최근 몇 주간 민감한 정보를 노리는 새로운 피싱 공격을 통해 다시 활동을 시작한 것으로 나타났습니다.

 

Cluster25는 지난 주 보고서를 발표해 아래와 같이 밝혔습니다.

 

"이 중국 APT는 스피어 피싱 이메일을 통해 'Viper'로 알려진 Red Team 프레임워크의 신호를 전달했습니다."

 

"이번 공격의 대상은 아직까지 알 수 없지만, 해당 그룹의 과거 이력을 감안할 때 남아시아 국가의 정부 기관일 가능성이 높습니다."

 

Naikon, Hellsing, Bronze Geneva라고도 불리는 Override Panda는 최소 2005년부터 중국 정부의 이익을 위해 활동하며 동남아시아 국가 연합(ASEAN)의 국가를 노리며 정보를 수집하는 것으로 알려져 있습니다.

 

이들이 공개한 공격 체인에서는 미끼 문서를 첨부한 스피어 피싱 이메일을 사용합니다. 사용자가 해당 문서를 실행할 경우 컴퓨터가 악성코드에 감염됩니다.

 

간첩 공격

 

이 그룹은 지난 4월 동남아시아의 군사 조직을 노린 광범위한 사이버 스파이 공격과 관련이 있는 것으로 나타났습니다. 2021년 8월, Naikon은 2020년 말 발생한 해당 지역의 통신 부문을 노린 사이버 공격과 연결되었습니다.

 

Cluster25가 발견한 최신 캠페인은 무기화된 마이크로소프트 오피스 문서를 활용하며 셸코드를 시작하도록 설계된 로더를 포함하는 감염 킬체인을 시작하고, 결국 Viper 레드 팀 툴에 대한 신호를 주입한다는 점 이전 공격과 유사합니다.

 

Viper는 GitHub에서 다운로드가 가능하며 "인트라넷 침투 과정에서 일반적으로 사용되는 전술과 기술을 모듈화하고 무기화하는 그래픽 인트라넷 침투 툴"입니다.

 

Cobalt Strike와 유사한 이 프레임워크는 초기 접근, 지속성, 권한 상승, 자격 증명 액세스, 측면 이동, 임의 명령 실행을 위한 모듈 80개 이상을 제공한다고 설명했습니다.

 

연구원들은 아래와 같이 설명했습니다.

 

“Naikon APT의 무기고를 확인한 결과, 이들은 장기 첩보 및 간첩 활동을 하는 경향이 있다는 결론을 내렸습니다. 이는 외국 정부와 공무원을 노리는 그룹에서 흔히 보입니다.”

 

"이들은 적발되는 것을 피하고 결과를 극대화하기 위해 시간이 지남에 따라 다양한 전술, 기술, 절차를 사용하고 사용하는 툴을 변경했습니다."

 

 

 

출처:

https://thehackernews.com/2022/05/chinese-override-panda-hackers.html

https://cluster25.io/2022/04/29/lotus-panda-awake-last-strike/