사라지지 않는 바다 안개 공격: 연구로 밝혀진 위협 그룹
끊임없이 진화하는 사이버 보안 환경에서 새로운 플레이어가 등장했습니다. 사라지지 않는 시 헤이즈 공격. 이전에 공개되지 않았던 이 위협 그룹은 주목을 받고 있습니다. 주로 남중국해 주변 국가의 고위급 조직을 대상으로 한 표적 활동으로 인해 연구자들로부터 주목을 받고 있습니다. 이에 대한 자세한 내용을 살펴보겠습니다. 남중국해 사이버 공격 의 세부 사항을 살펴보고 그 수법을 이해해 보겠습니다.
유명 인물을 노리는 사라지지 않는 바다 안개 공격
언페이딩 씨 헤이즈는 전략적 목표, 특히 남중국해 국가의 군사 및 정부 기관을 노리고 있습니다. 선도적인 사이버 보안 회사인 Bitdefender는 이 그룹의 활동을 조명하여 2018년부터 시작된 침입 패턴을 밝혀냈습니다. 비교적 최근에 등장한 조직임에도 불구하고, 언페이딩 씨 헤이즈 그룹 은 지금까지 8명의 피해자를 감염시켰습니다.
멀웨어 탐지
에 따르면 비트디펜더 보고서에 따르면 언페이딩 씨 헤이즈의 전술에서 우려스러운 점은 손상된 시스템에 반복적으로 다시 액세스하는 능력입니다. 이는 사이버 보안 관행의 중요한 취약점인 부실한 자격 증명 관리와 노출된 디바이스 및 웹 서비스에 대한 부적절한 패치를 강조합니다. 이러한 취약점을 악용하는 이 그룹의 끈질긴 행태는 강력한 보안 조치의
강력한 보안 조치의 중요성을 강조합니다.
정렬된 관심사 및 어트리뷰션 과제
다음과 같은 동기는 사라지지 않는 해무 공격 의 동기는 다소 모호하지만, 중국의 이익과 일치하는 목표가 있다는 징후가 있습니다. 그러나 공격 시그니처가 알려진 해킹 그룹의 시그니처와 직접적으로 겹치지 않기 때문에 이러한 공격을 특정 국가 행위자의 소행으로만 돌리는 것은 어렵습니다. 해킹 그룹. 그럼에도 불구하고 피해자와 멀웨어 사용의 유사성은 이전의 중국 관련 활동과의 연관 가능성을 시사합니다.
복잡한 공격 기법
언페이딩 씨 헤이즈는 다양한 정교한 기술을 사용하여 표적 네트워크에 침투하고 액세스를 유지합니다. 이러한 방법 중 하나는 스피어 피싱 이메일 악성 아카이브 파일이 포함된 스피어 피싱 이메일이 포함됩니다. 이러한 파일을 열면 SerialPktdoor라는 백도어가 실행되어 피해자의 시스템에 흔적을 남기지 않고 원격으로 명령을 실행할 수 있습니다.
회피 및 지속성
이 그룹의 전술은 초기 액세스를 넘어 손상된 네트워크 내에서 지속성을 확보하기 위한 기술을 통합합니다. 여기에는 예약된 작업을 활용하고 로컬 관리자 계정을 조작하여 침투한 시스템에 대한 제어권을 유지하는 것이 포함됩니다. 또한, 언페이딩 씨 헤이즈는 상업적으로 이용 가능한 원격 모니터링 및 관리(RMM) 툴을 사용하여 운영을 용이하게 함으로써 은밀성과 효율성을 더욱 향상시킵니다.
다양한 멀웨어 무기고
언페이딩 씨 헤이즈는 다양한 맞춤형 및 상용 파일리스 멀웨어의 변종 및 기타 특수 도구를 포함하여 다양한 맞춤형 및 기성 파일리스 멀웨어를 보유하고 있습니다. 이 그룹은 이러한 도구를 사용하여 키 로깅 및 데이터 탈취부터 PowerShell 스크립트 실행 및 민감한 정보 유출에 이르기까지 다양한 악성 활동을 수행할 수 있습니다.
언론 보도 에 따르면 이러한 아카이브 파일에는 Windows 바로 가기 LNK 파일 을 실행하면 원격 서버에서 다음 단계 페이로드를 검색하도록 설계된 명령을 실행하여 감염 프로세스를 시작한다고 합니다.
비트디펜더는 성명에서 "둘 다 .NET 어셈블리 로딩과 JScript 코드 실행을 포함한다"고 언급했습니다. 그러나 이것은 고립된 유사점입니다."라고 말하며 'FunnySwitch' 백도어에 대해 언급했습니다. APT41.
수동 데이터 추출 및 스파이 활동
여기서 주목할 만한 한 가지 측면은 중국 사이버 스파이 활동 데이터 유출에 대한 수동 접근 방식입니다. 이 그룹은 텔레그램이나 바이버와 같은 메시징 애플리케이션에서 데이터를 포함해 관심 있는 정보를 선택적으로 추출하여 암호로 보호된 아카이브에 패키지로 저장합니다. 이 표적화된 접근 방식은 스파이 활동과 손상된 시스템에서 민감한 정보를 획득하는 데 초점을 맞추고 있다는 것을 강조합니다.
결론
언페이딩 씨 헤이즈의 출현은 사이버 위협의 진화하는 특성과 정교한 공격자에 맞서 경계를 늦추지 않는 것이 중요하다는 점을 강조합니다. 엔드포인트 보안 은 사이버 위협으로부터 디바이스와 네트워크를 보호하는 데 매우 중요합니다.
공격 그룹의 전술과 기법을 이해함으로써 조직은 향후 공격에 더 잘 대비할 수 있습니다. 구현 강력한 보안 조치정기적인 보안 패치 및 자격 증명 관리를 포함한 강력한 보안 조치를 구현하는 것은 이러한 위협으로 인한 위험을 완화하는 데 필수적입니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 The Record.