중 해커, 홍콩 정부-기업 노린다 
상태바
중 해커, 홍콩 정부-기업 노린다 
  • 곽중희 기자
  • 승인 2022.10.19 10:02
  • 댓글 0
이 기사를 공유합니다

멀웨어 스파이스 로더 배포해 정보 해킹

 

중국 해커 집단 APT41이 홍콩 정부와 기업을 공격하고 있다.

시만텍 연구원은 지난 5월 중국 해커 APT41가 홍콩을 노리고 있고 밝혔다. 시만텍에 따르면, APT41는 최소 2007년부터 활동해 온 것으로 파악된다.

APT41은 CuckooBees라는 해킹 프로젝트를 수행하는데, 이는 최소 2019년부터 수행됐으며 개인정보, 기업의 민감 데이터를 훔치는 것으로 알려졌다. 

APT41은 주로 동아시아, 서유럽, 북미에 위치한 정부 기관, 기술-제조 기업을 노리고 있다. 또한 정확히 탐지되지는 않았지만, 홍콩 정부 기관을 겨냥한 공격도 약 1년 동안 계속되고 있다고 말했다.

시만텍은 APT41이 공격하는 네트워크에 ‘스파이더 로더’라는 사용자 지정 멀웨어를 배포하고 있는 것을 관찰했다.

시만텍은 “스파이더 로더 캠페인에서 궁극적인 페이로드는 보지 못했지만, 악성코드와 함께 본 이전 활동에 따르면, 궁극적인 목표는 정보 해킹이었던 것 같다”라고 분석했다.

전문가에 따르면, 스파이더 로더는 계속 진화하고 있는 정교한 모듈식 백도어다. 시만텍에서 분석한 샘플은 64비트 PE DLL로 컴파일되며, 악성 내보내기 sqlite3_prepare_v4를 포함하는 sqlite3.dll의 수정된 복사본이다.

스파이더 로더는 AES 암호화 blob을 로드해 콘텐츠를 실행하는 로더 역할을 하는 wlbsctrl.dll을 생성한다.

최근 홍콩을 겨냥한 공격에 사용된 멀웨어는 문자열 난독화를 위해 ChaCha20 알고리즘 암호화를 사용한다. 또한 생성된 아티팩트를 정리해 삭제하기 전에 삭제된 wlbsctrl.dll 파일의 내용을 덮어쓴다.

아울러 최근 공격과 스파이더 로더의 또 다른 유사점은 악성 프로그램 로더 실행을 위해 rundll32.exe를 사용한다는 점이다. 대상 네트워크에 대한 접근 권한을 얻은 해커는 Mimikatz를 사용해 자격 증명을 수집하고 이를 측면 이동에 사용했다.

시만텍은 "Mimikatz가 피해 네트워크에서 실행되는 것과 여러 악성 내보내기가 있는 트로이 목마 ZLib DLL에서 실행되는 것을 보았습니다. 명령줄에 제공된 파일 이름의 페이로드다”라고 설명했다.

시만텍 연구원들은 최근 공격은 APT41이 장기간 감행한  해킹 공격의 일부라고 추정하고 있다.

한편, 시만텍은 이번 공격에 대한 침해 지표(IoC)를 공유했다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.