중국 APT, 전 세계 5G 공급업체를 노리다

McAfee Advanced Threat Research (ATR) 전략 정보 팀은 발견했습니다 전 세계 주요 통신 제공업체를 대상으로 한 장기간의 사이버 스파이 작전을. 보안 연구자에 따르면 중국 국가 지원 해커들은 여러 미국, 유럽 연합 및 동남아시아의 통신 회사 네트워크에 맬웨어를 심어 5G 기술과 관련된 비밀 정보를 정찰하고 탈취합니다. 이 악의적인 캠페인은 해당 지역의 5G 롤아웃에서 중국 기술의 금지에 대응하여 베이징 정부를 대신해 시작된 것으로 추정됩니다.

작전 전선 개요

전술, 기술 및 절차(TTP)에 대한 심층 분석은 이 캠페인을 Mustang Panda 또는 RedDelta로 알려진 중국 APT 플레이어와 연결합니다. 이 해커 집단은 이전에 가톨릭 단체, 몽골 NGO 및 미국 기반 싱크탱크를 공격하는 것이 목격되었습니다. 그러나 2020년 8월 이 그룹은 통신 회사 수십 곳을 대상으로 그들의 네트워크를 스파이하는 Dianxun 작전과 관련된 악의적인 활동으로 전환했습니다.

초기 감염 벡터는 현재 알려져 있지 않지만, McAfee 전문가들은 공격자들이 피해자를 피싱 도메인으로 리디렉션하여 시스템에 악성 소프트웨어를 전송한다고 제안합니다. 특히, 사용자는 Huawei 회사 채용 페이지로 위장한 가짜 웹사이트를 방문하도록 유도됩니다. 이 페이지는 피해자들을 속여 가짜 Flash 애플리케이션을 다운로드하게 하며, 이는 로더로 작동하여 대상 기계에 DotNet 유틸리티를 떨어뜨립니다. DotNet 도구는 지속성을 높이고, 정찰을 수행하며, 손상된 네트워크에 두 번째 단계 백도어를 로드합니다. 심층 분석에 따르면 대부분의 경우 DotNet은 base64 gzip 파일 형식의 Cobalt Strike 공격 키트를 제공합니다. 중국 해커들은 침투의 마지막 단계에서 Cobalt Strike를 활용하여 손상된 네트워크 전반에 걸쳐 횡적 이동을 수행하고 5G 기술과 관련된 귀중한 데이터를 검색합니다.

보안 전문가들은 화웨이가 이 악의적 작전과 어떠한 방식으로도 연결되지 않았으며, 사실상 사악한 행동의 피해자라고 말합니다. 게다가 연구원들은 최근 동일한 TTP에 기반한 악성 활동을 목격했기 때문에 이 캠페인이 여전히 진행 중이라고 믿습니다.

작전 전선 공격 탐지

작전 전선과 관련된 가능한 공격을 탐지하기 위해, 우리의 날카로운 Threat Bounty 개발자인 Emir Erdogan 는 전용 커뮤니티 Sigma 규칙을 발표했습니다:

https://tdm.socprime.com/tdm/info/LQ0ejPlvFevz/0xgrRXgBhYIRj3KqhBZW 

이 규칙은 다음 플랫폼에 번역되었습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black, Microsoft Defender ATP

MITRE ATT&CK:

전술: 실행, 지속성, 권한 상승

기술: 예약된 작업 (T1053)

위협 탐지 마켓플레이스 구독, 100,000+ 탐지 및 대응 규칙을 쉽게 다양한 형식으로 변환할 수 있는 업계 최초의 SaaS 플랫폼입니다. 자사 탐지 콘텐츠를 만들고 전 세계 위협 사냥 이니셔티브에 기여하는 것에 열정이 있습니까? 우리의 Threat Bounty 프로그램에 참여하십시오 그리고 귀하의 기여에 대한 보상을 받으세요!