2024년 2월 APT 그룹 동향 보고서
2023년 2월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.
1) APT28
미국 정부는 2024년 1월 법원이 승인한 오페레이션 다잉 엠버(Operation Dying Ember)로 러시아 연방군 총참모부 정보총국 (GRU)에서 운영한다고 의심받는 APT28 그룹의 봇넷을 차단했다고 밝혔다.[1]
APT28 그룹은 Moobot 악성코드를 사용해 봇넷을 구성했다. 이 봇넷은 정보 수집 대상에 대한 실제 위치를 표시하고, 맞춤형 스크립트를 통해 자격 증명과 NTLM(NT LAN Manager) v2 해시를 수집할 수 있을 뿐만 아니라 스피어 피싱 랜딩 페이지 및 무차별 암호 대입을 위한 기타 사용자 지정 도구를 호스팅했다.
해킹 그룹이 수행한 스피어 피싱 캠페인도 Outlook의 제로데이 취약점(CVE-2023-23397)을 이용해 로그인 자격 증명을 빼내고 라우터로 전송했다.
2) Earth Lusca
Trend Micro는 Earth Lusca 그룹이 중국-대만 관계 이슈를 이용해 공격했다고 공개했다.[2]
공격자는 China_s gray zone warfare against Taiwan.7z 파일 이름으로 중국-대만 관계와 관련된 사회 공학적을 이용한 메일을 보냈다. 7z 파일 내 Windows 바로가기 파일이 포함된 폴더와 __MACOS 하위 폴더가 있었는데, 이 하위 폴더에 악성코드가 숨겨져 있었다.
주목할 만한 것은 중국 I-Soon 회사와 연관점이다. 2024년 2월 중순 중국 법 집행기관 및 정부 기관과 협력하며 해킹과 관련된 프로그램 등을 제작한 I-Soon 회사의 내부 정보가 유출되어 GitHub에 공개되었다.[3] 유출된 자료의 피해자, 악성코드 및 도구, 중국 쓰촨(Sichuan)성 청두 (Chengdu)시에서의 위치가 Earth Lusca 그룹 정보와 일치한다.
3) FlameSnake (APT-C-52)
360은 FrameSnake (APT-C-52) 그룹이 2021년부터 파키스탄에 대한 공격을 진행하고 있다고 공개했다.[4]
FrameSnake 그룹의 주 공격 대상은 파키스탄으로 유출 데이터는 대부분은 알림 메시지, 그리고 사진, 문서, 연락처 목록, 메시지, 통화 기록 등이다.
Facebook을 사용하여 공격 대상의 연락처를 얻고, WhatsApp이나 SMS와 같은 소셜 미디어를 통해 악성 애플리케이션의 다운로드 주소를 전파했다. 이를 통해 공격 대상이 악성 애플리케이션을 설치하고 사용하도록 유도해 악성코드를 감염시키고 개인 데이터와 같은 민감한 정보를 훔쳤다.
이들은 피해자의 정보를 통해 군사 정보를 획득하려고 시도하며, 구글 렌즈로 주요 문서를 번역해 정보를 분석했다.
Yoohoo 채팅 앱을 모방하여 공격을 수행했는데 앱을 Opus Labs Works에서 개발했다. Firebase Authentication을 사용해 SMS 인증을 진행하고, Firebase Storage에 사용자 데이터를 저장했다.
L3MON 오픈 소스 원격 제어 도구로 연락처 목록, 통화 기록, 메시지, 알림 메시지, 설치된 애플리케이션 목록 등을 훔쳤으며, 특정 파일 확장자를 가진 파일과 WhatsApp, WhatsAppBusiness, Signal의 채팅 기록도 훔쳤다.
Github에 있는 ChatApp 원격 저장소를 사용하여 공격 코드를 관리한다.
4) Gamaredon (Shuckworm)
Securonix는 Gamaredon (Shuckworm) 그룹으로 보이는 우크라이나 군인들을 대상으로 한 사이버 공격을 확인했다.[5]
USB 드라이브로 전파되는 ‘SUBTLE-PAWS’라는 새로운 PowerShell 기반 백도어를 활용되고 있다. 공격은 우크라이나 도시와 군사 용어를 참조한 피싱 이메일을 통해 진행되었다. 초기 단계에서 피해자는 “ODESSA.lnk”나 “LUGANSK.lnk”와 같은 이름의 바로가기 파일을 클릭하여 PowerShell 백도어의 실행을 시작한다. 이 백도어인 ‘SUBTLE-PAWS’는 ‘finance.bin’과 같은 이름의 파일을 통해 전달된다.
SUBTLE-PAWS PowerShell 스크립트는 고유한 기계 식별자 생성, 레지스트리 값을 통한 지속성 확립, 그리고 Command and Control (C2) 서버와의 통신 등 다양한 작업을 수행한다.
백도어는 동적 실행, 바로가기 생성, 호스트에서의 명령 실행, USB 드라이브를 통한 수평 이동 등의 기능을 포함하고 있다.
C2 서버로 Telegraph URL을 사용하여 동적으로 검색되어, 공격자들이 실시간으로 작업 연결 주소를 변경할 수 있다. 스크립트가 HTTPS를 통해 C2 서버와 통신하지 못하면 강제로 자신을 제거한다.
[1] https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian
[2] https://www.trendmicro.com/en_us/research/24/b/earth-lusca-uses-geopolitical-lure-to-target-taiwan.html
[3] https://atip.ahnlab.com/intelligence/view?id=f98c0c29-f72a-4960-9733-852d9eca114e
[4] https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247493844&idx=1&sn=c0f7fb39db6a01860503675e42c89c06
[5] https://www.securonix.com/blog/security-advisory-steadyursa-attack-campaign-targets-ukraine-military/
