중국과 연계된 APT 그룹 플랙스타이푼이 스파이 활동의 일환으로 대만의 수십 개 조직을 목표로 삼은 정황이 포착됐다.
마이크로소프트가 중국 APT 플랙스타이푼(일명 Ethereal Panda)을 대만의 수십 개 조직을 대상으로 한 사이버 스파이 캠페인에 관여했다고 지목했다.
연구원들은 플랙스타이푼이 최소한의 악성코드를 사용해 대만 기관의 네트워크에 대한 장기적인 액세스 권한을 얻고 유지하는 것을 발견했다. 이 그룹은 일부 합법적인 소프트웨어와 함께 운영체제에 내장된 도구를 사용했다. 2021년 중반부터 대만의 정부 기관과 교육, 핵심 제조 및 정보 기술 조직에 초점을 맞추어 활동하고 있다.
APT의 공격 체인은 공개 서버의 알려진 취약점을 이용하고 China Chopper와 같은 웹 셸을 배포함으로써 시작된다. 대상 네트워크에 대한 초기 액세스 권한을 얻은 플랙스타이푼은 명령줄 도구를 사용하여 먼저 원격 데스크톱 프로토콜을 통해 영구 액세스를 설정한 다음 C2 인프라에 대한 VPN 연결을 설정하고 마지막으로 손상된 시스템에서 자격 증명을 수집한다. 이어 VPN 액세스를 사용하여 대상 조직의 취약점을 검색한다.
동남아시아와 북미, 아프리카에서도 소수의 희생자가 발견됐는데, 이 단체는 2021년 중반 이후 활동한 것으로 추정된다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
