2024-03-29 02:25 (금)
중국 해킹그룹 APT10, 日 언론에 대한 새로운 공격 수행
상태바
중국 해킹그룹 APT10, 日 언론에 대한 새로운 공격 수행
  • hsk 기자
  • 승인 2018.09.17 17:15
이 기사를 공유합니다

aaaa-3.jpg
지난 7월 파이어아이 보안연구원은 일본의 미디어 분야를 타깃으로 한 중국 APT10 그룹이 수행한 캠페인을 발견했다.

최소 2009년부터 활동해 온 APT10그룹은 'Menu-pass' 또는 'Stone Panda'라고도 불린다.이들은 표적 공격에 PlugX, ChChes, Quasar, RedLeaves 멀웨어를 사용했고 보안전문가들은 2016년 중반부터 이 그룹을 주목해왔다.

2017년 4월 PwC UK 및 BAESystems의 전문가들은 작전명 'Cloud Hopper'로 불리는 광범위한 해킹 캠페인을 발견했다. 해당 작전은 여러 국가의 관리 서비스 제공 업체를 대상으로 이루어졌다.

다음으로 2018년 7월, 파이어아이는 UPPERCUT 또는 ANEL로 추적되는 백도어를 전달하기 위해 무기화된 워드 문서를 사용, 스피어 피싱 이메일을 활용하는 새로운 공격을 관찰했다. ANEL은 이전 공격에서 베타 버전 또는 후보군으로 이미 사용되었던 멀웨어다.

스피어 피싱 메일에는 읽을 수 없는 컨텐츠가 포함되어 있고 해상, 외교 및 북한 문제와 관련된 제목을 사용했다. 또한 메시지 본문에는 암호화된 문서를 보기 위한 암호가 들어있다.

UPPERCUT 샘플을 분석한 결과 타임 스탬프가 덮어 쓰여지고 0으로 채워지는 것으로 나타났다. 전문가들은 UPPERCUT 5.2.x 시리즈에 대한 가시성이 부족하다고 지적했지만 2017년 12월에서 2018년 5월 사이에 주기적으로 마이너 버전이 출시된 것으로 추측했다.

최신 버전에서는 이전 버전들과 달리 내보낸 함수 이름이 랜덤으로 지정된다. 또 새로운 기능을 구현해 C2 서버에서 HTTP 응답을 수신하지 못하면 쿠키 헤더에 오류 코드를 보내도록 했다.

해당 악성 코드는 다음과 같은 몇가지 명령을 지원한다. 파일 다운로드 및 유효성 확인, C2 서버에 파일 업로드, PE 파일 로드, 다운로드, 검증, 파일 실행, 출력을 C2 서버로 전송, 현재 타임 스탬프 포맷, 데스크탑스크린샷을 png 파일로 캡쳐 후 C2 서버로 전송, cmd.exe를 통해 수신된 버퍼 실행 후 서버로 출력 등의 명령이다.

파이어아이 측에 따르면, APT10은 지속적으로 동일한 지리적 위치와 업체를 타깃으로 하고 사용하는 악성코드가 발전을 거듭하고 있다고 결론지었다. 최신 버전 UPPER-CUT에는 백도어가 Blowfish 암호화 키를 초기화하는 방식에 큰 변화가 있어 전문가들이 백도어의 네트워크 통신을 탐지 및 복호화하는 것이 더 어려워졌다. 이는 APT10이 멀웨어를 유지,관리하고 업데이트할 수 있다는 것을 보여준다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★