기술 지원
문서
로그인
문의하기
웹웜 해커는 사이버 스파이 활동을 위해 Windows 기반 RAT를 사용합니다.
2022년 10월 3일 TuxCare 홍보팀
웹웜으로 식별된 위협 행위자가 사이버 스파이 활동을 위해 Windows 기반 원격 액세스 트로이 목마를 사용하고 있습니다.
시만텍 위협 헌터 팀은 공격자가 아시아 여러 국가에서 운영되는 IT 서비스 제공업체를 표적으로 삼은 사례를 확인했습니다. 연구진은 공격자가 사용한 세 가지 RAT도 확인했습니다.
위협 헌터 팀은 "이 그룹은 트로키루스 RAT, Gh0st RAT, 9002 RAT 등 세 가지 구형 원격 액세스 트로이목마(RAT)의 맞춤형 버전을 개발했습니다."라고 말했습니다.
이러한 백도어는 스톤 팬더(APT10), 오로라 팬더(APT17), 엠시저 팬더(APT27), 저스티스 팬더(APT31) 등과 같은 중국 위협 행위자들과 연관되어 있습니다.
웹웜은 2017년부터 활동하기 시작했습니다. 멀웨어 공격 체인에는 트로키루스, Gh0st 및 9002 원격 액세스 트로이목마의 변형된 버전을 실행하도록 설계된 로더가 포함된 드롭퍼 멀웨어의 사용이 포함됩니다. 대부분의 변경 사항은 탐지를 회피하기 위한 것입니다.
"웹웜은 이전 버전과 일부 오픈 소스 멀웨어의 커스터마이즈된 버전을 사용하며, 스페이스 파이럿츠(Space Pirates)로 알려진 그룹과 코드가 겹치는 것으로 보아 동일한 위협 그룹일 가능성이 높습니다. 그러나 이러한 유형의 도구를 공통적으로 사용하고 이 지역의 그룹 간에 도구를 교환하면 뚜렷한 위협 그룹의 흔적을 모호하게 만들 수 있으며, 이는 정교한 멀웨어를 개발하는 데 비용과 시간 측면에서 많은 비용이 들기 때문에 이러한 접근 방식을 채택하는 이유 중 하나 일 수 있습니다."라고 연구원들은 말했습니다.
웹웜 위협 행위자는 스페이스 파이럿츠(Space Pirates)로 확인된 또 다른 새로운 공격자와 전술적으로 겹치는 부분이 있습니다. 스페이스 파이럿츠는 활동의 일부로 위키드 팬더(APT41), 머스탱 팬더, 대거 팬더(레드폭스트롯), 컬러풀 팬더(TA428), 나이트 드래곤과 같이 이전에 확인된 중국 스파이 활동과 교차합니다. 이러한 그룹과 연결될 수 있는 이유는 플러그엑스와 쉐도우패드와 같은 익스플로잇 후 모듈형 RAT를 공동으로 사용하기 때문입니다.
조직은 사용 중인 모든 소프트웨어 애플리케이션의 최신 버전을 사용하는 것이 중요합니다. 모든 취약점도 패치해야 합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
