Group-IB, 암호화폐를 훔치려는 SideWinder APT 음모 적발
Group-IB는 최근 악명 높은 중국 국가 지원 해킹 그룹인 사이드와인더의 소행으로 추정되는 새로운 피싱 캠페인을 발견했습니다.
2022년 1월에 시작되어 현재도 진행 중인 이 공격은 군 및 정부 기관과 민간 기업의 민감한 데이터를 훔치기 위한 대규모 사이버 스파이 캠페인의 일부로 추정됩니다.
2022년 1월에 시작되어 현재까지 계속되고 있는 이 공격은 민간 부문 기업뿐만 아니라 군사 및 정부 기관의 민감한 데이터를 훔치기 위한 대규모 사이버 스파이 캠페인의 일부로 추정됩니다. 피싱 이메일은 정교하고 개인화된 방식으로 피해자가 악성 링크를 클릭하거나 감염된 첨부 파일을 다운로드하도록 유도합니다.
공격자는 피해자의 컴퓨터를 감염시킨 후 로그인 자격 증명, 이메일 아카이브 및 기타 기밀 데이터와 같은 민감한 정보에 액세스할 수 있습니다. 사이드와인더 그룹은 최소 2012년부터 활동해 왔으며 외국 정부, 군사 및 방위 계약업체, 인권 단체를 표적으로 삼는 등 다양한 스파이 활동과 연관되어 있습니다.
연구진에 따르면 공격자들은 암호화폐 에어드롭을 사칭하여 사용자 자격 증명을 탈취하려고 시도했다고 합니다. 연구진에 따르면 NCASH는 인도의 소매점에서 사용하고 있는 Nucleus Vision 생태계에서 결제 수단으로 사용됩니다. 연구진에 따르면 암호화폐 에어드롭과 관련된 피싱 링크를 발견했다고 합니다.
해당 링크(http://5[.]2[.]79[.]135/project/project/index.html)를 방문한 사용자는 에어드랍에 참여하고 토큰을 받기 위해 등록하라는 요청을 받았지만, 어떤 토큰을 받을지는 명시되지 않았습니다. 사용자는 "세부 정보 제출" 버튼을 눌러 로그인.php 스크립트를 활성화하는데, 연구원들은 이 그룹이 이 공격 벡터를 추가로 개발하는 데 이 스크립트를 사용하고 있는 것으로 보고 있습니다.
또한 Group-IB는 이전에는 일부만 공개적으로 설명되었던 사이드와인더 전용 툴을 발견했는데, 이 툴들은 C++, C#, Go, Python(컴파일된 스크립트), VBScript 등 다양한 프로그래밍 언어로 작성되어 있었습니다.
이 그룹의 최신 커스텀 툴인 사이드와인더는 그 무기의 일부입니다. 이전에 파키스탄 조직을 대상으로 한 피싱 공격에 사용된 적이 있는 파이썬 기반 정보 탈취 도구인 StealerPy. 이 스크립트는 피해자의 Google Chrome 검색 기록, 저장된 자격 증명, 디렉터리의 폴더 목록, 메타 정보 및 .docx, .pdf, .txt 파일의 내용을 추출할 수 있습니다. 이 스크립트는 "단기간에 수백 건의 스파이 활동을 수행"한 것으로 알려진 이 그룹의 명성에 큰 부분을 차지합니다.
피싱 이메일은 정교하고 개인화된 방식으로 제작되어 피해자가 악성 링크를 클릭하거나 감염된 첨부 파일을 다운로드하도록 유도합니다. 피해자의 컴퓨터를 감염시킨 후 공격자는 로그인 자격 증명, 이메일 아카이브 및 기타 기밀 데이터와 같은 민감한 정보에 액세스할 수 있습니다.
사이드와인더 그룹은 최소 2012년부터 활동해 왔으며 외국 정부, 군사 및 방위 계약업체, 인권 단체를 표적으로 삼는 등 다양한 스파이 활동과 연관되어 있습니다. 또한 베트남, 필리핀, 캄보디아를 공격하는 등 다양한 동남아시아 사이버 스파이 활동과도 연계되어 있습니다.
이번 조사에서 사이드와인더의 피해자를 협박하려는 시도가 성공했는지 여부는 확인되지 않았습니다.
이 글의 출처는 DarkReading의 기사입니다.