기술 지원
문서
로그인
문의하기
해커는 사이버 보안 솔루션을 우회하는 데 필요한 기술을 발전시킵니다.
2023년 4월 7일 TuxCare 홍보팀
어스 프레타의 최근 캠페인에 따르면 중국과 연계된 국가 해커들이 보안 솔루션을 우회하는 데 점점 더 능숙해지고 있다고 합니다. 이 위협 행위자는 적어도 2012년부터 활동해 왔으며 Bronze President, HoneyMyte, Mustang Panda, RedDelta, Red Lich라는 이름으로 알려져 있습니다.
이 그룹은 스피어 피싱 이메일로 공격 체인을 시작하여 백도어 액세스, 명령 및 제어(C2), 데이터 유출을 위한 다양한 툴을 배포합니다. 이 메시지에는 드롭박스 또는 구글 드라이브 링크를 통해 배포되는 악성 유인 아카이브가 포함되어 있으며, 이 아카이브는 DLL 사이드 로딩, LNK 바로 가기 파일, 가짜 파일 확장자를 도착 벡터로 사용하여 발판을 마련하고 톤인스, 톤쉘, 퍼로드, MQsTTang(일명 QMAGENT)과 같은 백도어를 드롭합니다.
트렌드마이크로가 발표한 새로운 분석에 따르면, "어스 프레타는 악성 페이로드를 가짜 파일에 숨겨 합법적인 파일로 위장하는 경향이 있으며, 이는 탐지를 피하는 데 효과적인 것으로 입증된 기법"이라고 합니다. 작년에 처음 발견된 이 진입점 방법은 이후 수정되었습니다. 아카이브에 대한 다운로드 링크는 다른 미끼 문서에 포함되어 있으며 파일은 이메일 게이트웨이 솔루션을 우회하기 위해 암호로 보호되어 있습니다.
연구원들은 "그런 다음 문서에 제공된 암호를 통해 파일을 내부에서 추출할 수 있습니다. 공격 배후에 있는 악의적인 공격자는 이 기술을 사용하여 스캐닝 서비스를 성공적으로 우회할 수 있습니다."라고 설명합니다.
해커가 피해자의 환경에 대한 초기 액세스 권한을 확보하면 계정 검색 및 권한 상승 단계로 진행합니다. Mustang Panda는 ABPASS 및 CCPASS와 같은 사용자 지정 도구를 활용하여 Windows 10의 사용자 계정 제어(UAC)를 우회합니다.
또한, 위협 행위자는 이동식 디스크에 자신을 설치하고 네트워크를 가로질러 측면 이동을 목표로 리버스 셸을 생성하기 위해 "USB Driver.exe"(HIUPAN 또는 MISTCLOAK) 및 "rzlog4cpp.dll"(ACNSHELL 또는 BLUEHAZE)과 같은 멀웨어를 배포하는 것으로 관찰되었습니다.
명령을 실행하고 이벤트 로그를 지울 수 있는 백도어인 CLEXEC, 키 입력을 기록하고 파일을 읽고 삭제하도록 설계된 임플란트인 COOLCLIENT 및 TROCLIENT, PlugX 등이 배포된 것으로 나타났습니다. 연구원들은 "위협 행위자들은 잘 알려진 합법적인 툴 외에도 유출에 사용되는 고도로 맞춤화된 툴도 제작했습니다."라고 지적했습니다. 여기에는 Microsoft Office 파일을 수집하는 기능이 탑재된 NUPAKAGE와 ZPAKAGE가 포함됩니다.
연구 결과에 따르면 중국 사이버 스파이 행위자들은 작전 속도를 높이고 탐지를 회피하기 위해 사이버 무기를 발전시키는 데 지속적으로 투자하고 있습니다. 연구원들은 "어스 프레타는 지속적으로 TTP를 연마하고 개발 역량을 강화하며 다양한 도구와 멀웨어를 구축하는 유능하고 조직적인 위협 행위자입니다."라고 결론지었습니다.
이 글의 출처는 TheHackerNews의 기사입니다.
