새로운 사이버 스파이 캠페인 감지: 중국 지원으로 의심되는 행위자들이 동남아시아의 고위 조직을 대상으로
목차:
방어자들은 증가하는 사이버 공격 숫자가 중국 지원 APT 그룹과 연결되어 주로 정보 수집에 집중하고 있음을 관찰합니다. 2024년 9월에, Earth Baxia로 추적되는 중국 관련 APT 그룹이 대만의 한 국가 기관과 APAC 지역 내 다른 국가들을 대상으로 작전을 개시했습니다. 최근 발견된 사이버 스파이 캠페인은 특히 2023년 10월부터 동남아시아의 고위급 조직들을 타겟으로 삼고 있으며, 중국과 연결된 해커들이 공격의 배후로 의심되고 있습니다.
중국 행위자에 의한 동남아시아 고위급 조직 공격 탐지
2024년 동안 중국의 APT 그룹은 북한, 러시아, 이란과 함께 세계 최고의 사이버 위협 가운데 하나로 평가되었으며, 강화된 공격 역량을 보여주며 사이버 보안 환경에 상당한 도전을 제기했습니다. 신흥 위협을 뛰어넘고 중국 행위자의 잠재적 공격을 빠르게 감지하기 위해, SOC Prime Platform은 집단 사이버 방어를 위한 CTI로 강화된 탐지를 제공하여 사이버 방어자들을 최신 위협 탐지 및 추적을 위한 완전한 제품군으로 지원합니다.
단순히 탐지 탐색 버튼을 클릭하여 동남아시아 최신 공격에 대응하는 중국 APT 행위자에 대한 시그마 규칙 팩을 바로 살펴보세요. 모든 규칙은 MITRE ATT&CK 프레임워크에 매핑되어 있으며, 광범위한 메타데이터로 강화되어 있고, 30개 이상의 SIEM, EDR, 데이터 레이크 솔루션과 호환되어 위협 조사를 간소화합니다.
보안 엔지니어는 또한 Uncoder AI 를 활용하여 IOC를 매끄럽게 패킹하고 적의 TTP를 회고 분석할 수 있습니다. Symantec의 해당 연구 를 기반으로 다양한 SIEM, EDR, 데이터 레이크 언어와 호환되는 맞춤형 쿼리로 IOC를 즉시 변환합니다.
중국 기반 적대 세력과 관련된 것으로 보이는 사이버 스파이 공격 분석
Symantec 위협 헌터 팀의 최근 연구에 따르면,새로 발견된 사이버 스파이 캠페인은 여러 산업 분야의 조직, 두 개국의 정부 부처, 항공 교통 관리 조직, 통신 회사, 미디어 매체를 대상으로 합니다.
2023년 10월부터 적어도 활동 중인 새로 발견된 캠페인은 주로 정보를 수집하는 데 목적이 있습니다. 공격자들은 계속되는 캠페인에서 오픈 소스 및 레거시 도구를 혼합 사용하며, 다양한 TTP를 동원해 공격 범위를 확장합니다. 피해자의 지리적 위치와 중국 기반 APT 그룹과 이전에 관련된 도구의 사용은 이러한 공격이 중국 행위자의 악의적 활동과 관련이 있음을 나타냅니다. 특히 프록시 도구인 Rakshasa와 DLL 사이드로딩에 사용되는 정품 애플리케이션 파일은 이전에 Earth Baku(aka APT41 또는 Brass Typhoon)로 알려진 중국 APT 그룹과 관련이 있었습니다. 기타 관련 해킹 단체에는 Fireant(aka Mustang Panda, APT31, Stately Taurus), Budworm(aka APT27, Emissary Panda, Lucky Mouse) 등이 포함됩니다.
적대 세력은 원격 접속 도구를 사용하여 WMI를 통해 명령을 실행하는 Impacket을 악용합니다. 그런 다음 키로거, 비밀번호 수집기, ReverseSSH와 같은 역방향 프록시 도구를 배치하여 인프라에 지속적인 액세스를 유지합니다. 또한 공격자들은 인증 필터 역할을 하는 맞춤형 DLL 파일을 설치하여 로그인 자격 증명을 포착합니다. 연구자들은 또한 중국의 다양한 해킹 단체가 일반적으로 사용하는 툴인 PlugX (다른 이름으로 Korplug)을 사용하는 것을 관찰했습니다. 예를 들어 Earth Preta APT.
가 한 조직에서 공격자들은 2024년 6월부터 8월까지 적어도 세 달 동안 활동했으며, 주요 목표는 정보 수집과 가치 있는 데이터를 수집 및 탈취하는 것이었습니다. 이 사례는 특정 방법을 보여주지만, 다른 공격에서는 DLL 사이드로딩과 Rakshasa와 SharpGPOAbuse 같은 도구를 사용하는 등의 추가적인 TTP를 사용하여 공격 목표를 달성했습니다. 연구자들은 적대 세력이 오랜 기간 동안 은밀하게 침투한 네트워크에 접근하여 비밀번호를 수집하고 주요 네트워크를 맵핑하는 것을 관찰했습니다. 탈취된 데이터는 WinRAR를 사용하여 비밀번호로 보호된 아카이브로 압축되고 File.io 같은 클라우드 저장 플랫폼에 업로드되었습니다.
Symantec은 중국 행위자와 관련된 가능성이 있는 지속적인 악성 활동의 위험을 완화하기 위해 관련 보호 공지 를 발표했습니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 보안 팀이 최첨단 솔루션을 통해 사이버 위협을 초과할 수 있게 하며, 위협 탐지를 향상하고 탐지 엔지니어링을 높이며, 위협 사냥을 자동화하여 강력한 사이버 보안 태세를 구축할 수 있습니다.
