2024-03-29 17:25 (금)
중국 APT41 해커, 미국 6개 주 정부 사이버공격해
상태바
중국 APT41 해커, 미국 6개 주 정부 사이버공격해
  • 페소아 기자
  • 승인 2022.03.11 09:06
이 기사를 공유합니다

중국과 연계된 국가 후원 위협 행위자인 APT41은 취약한 인터넷 연결 웹 애플리케이션을 이용하기 위해 공격 벡터를 재구성하여 2021년 5월부터 2022년 2월 사이에 최소 6개의 미국 주 정부 네트워크를 침해했다.

더해커뉴스 보도에 따르면, 맨디언트(Mandiant)의 연구원들은 보고서에서 "USAHERDS 애플리케이션의 제로데이 취약점(CVE-2021-44207)과 현재 악명 높은 Log4j의 제로데이(CVE-2021-44228)"가 악용됐다고 밝히면서, 그것을 "고의적인(deliberate) 캠페인"이라고 불렀다.

맨디언트는 웹 손상 외에도 지속적인 공격에는 역직렬화, SQL 주입 및 디렉터리 탐색 취약점을 악용하는 무기화도 포함된다고 밝혔다.

Barium 및 Winnti라는 별명으로도 알려진 수많은 지능형 지속적 위협은 재정적 동기가 부여된 작업과 병행하여 스파이 활동을 조정하기 위해 공공 및 민간 부문의 조직을 표적으로 삼은 실적이 있다.

2020년 초에 이 그룹은 Citrix NetScaler/ADC, Cisco 라우터 및 Zoho ManageEngine Desktop Central과 관련된 다양한 익스플로잇을 활용하여 20개국의 수십 개 기업에 악성 페이로드를 공격한 글로벌 침입 캠페인과 연결되었다.

최신 공개는 APT41이 Log4Shell과 같이 새로 공개된 취약점을 신속하게 채택하여 그것이 대중에게 알려진 후 몇 시간 내에 보험 및 통신 회사와 함께 두 미국 주 정부의 대상 네트워크에 대한 초기 액세스 권한을 얻는 추세를 이어가고 있다.

연구원들은 해킹 팀이 2021년 5월과 6월에 처음으로 침투한 두 명의 미국 주정부 피해자를 재침범한 2022년 2월까지 계속해서 "주 정부 네트워크에 액세스하려는 그들의 끊임없는 욕망을 보여주었다"고 말했다.

뿐만 아니라 Log4Shell을 악용한 후 기반이 구축되면서 Linux 시스템에 KEYPLUG라는 모듈식 C++ 백도어의 새로운 변종을 배포했지만, 대상 환경에 대한 광범위한 정찰 및 자격 증명 수집을 수행하기 전에는 그렇지 않았다.

또한 공격 중에 LOWKEY 임플란트 실행을 담당하는 악성코드 로더인 DEADEYE와 같은 고급 포스트 침해 도구와 함께 다음 단계 페이로드를 실행하도록 조정된 DUSTPAN(StealthVector라고도 함)이라는 인메모리 드로퍼가 관찰되었다.

APT41이 사용하는 다양한 기술, 회피 방법 및 기능 중 가장 중요한 것은 명령 및 제어(C2) 통신 및 데이터 유출을 위한 Cloudflare 서비스의 "실질적으로 증가된" 사용과 관련이 있다고 연구원들은 말했다.

맨디언트는 적들이 일반적으로 스파이 활동과 관련된 개인 식별 정보를 빼내는 증거를 발견했다고 밝혔지만 캠페인의 궁극적인 목표는 현재 불분명하다.

이번 발견은 또한 중국 국가 그룹이 유비쿼터스 아파치 Log4j 라이브러리의 보안 결함을 악용하여 표적에 침투한 두 번째 사례이다. 2022년 1월 마이크로소프트는 1년 전 Exchange Server 결함을 광범위하게 악용한 위협 행위자 Hafnium이 "가상화 인프라를 공격하여 일반적인 대상을 확장"하는 공격 캠페인을 자세히 설명했다.

최근의 활동들은 전략적으로 관심 있는 전 세계의 기업들을 공격하기 위해 악성 프로그램 무기고를 개선하고 목표 지점을 바꿀 수 있는 끊임없이 적응하는 적들의 또 다른 징후이다.

수년간 헬스케어, 첨단기술, 통신 분야에 대한 위협 행위자의 끊임없는 작전은 미국 법무부의 주목을 끌었고, 2020년 이 단체의 5명의 멤버에 대한 고발을 발표하면서 해커들은 FBI의 사이버 지명수배자 명단에 올랐다.

연구진은 "APT41은 다른 벡터를 통해 환경을 다시 구성하거나 새로운 취약점을 신속하게 조작함으로써 초기 액세스 기술을 빠르게 적응시킬 수 있다. 또한 이 그룹은 향후 사용을 위해 기능을 보유하는 대신 새로운 공격 벡터를 통해 기능을 리툴링하고 구현하려는 의지를 보여준다."고 말했다.

이와 관련해 구글 위협분석그룹은 지난달 APT31(일명 Zirconium)로 추적되는 또 다른 중국 국가지원단체가 '미국 정부 소속 gmail 고위층 이용자들'을 대상으로 벌인 피싱 캠페인을 차단하기 위한 조치를 취했다고 밝혔다.


[G-PRIVACY 2022 개최]

◇행사명: 2022 공·공 금·융 기업 개인정보보호&정보보안 컨퍼런스(G-PRIVACY 2022 )

◇대상: 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 개인정보보호/정보보안 실무자(※학생, 프리랜서 그리고 현업 보안실무자가 아닌 분들은 참석대상이 아님을 미리 공지합니다.)

◇일시: 2022년 3월 29일 화요일 오전9시~오후5시

◇장소: 더케이호텔서울 2층 가야금홀

◇참가비: 무료

◇점심식사: 제공하지 않습니다.

◇주차: 1일 무료 주차권 지급

◇발표자료: 등록사이트에서 다운로드(3월 28일 오후 4시부터)

◇7시간 교육이수: 공무원·일반기업 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.

◇등록마감: 2022년 3월 28일 오후 5시까지

◇전시회: 국내외 최신 개인정보보호 및 정보보안 솔루션 전시

◇문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

◇사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★