Billbug Attack Detection: China-Linked Espionage Actors Target Southeast Asian Organizations
목차:
ESET의 2024년 2분기-3분기 APT 활동 보고서는 중국과 연관된 그룹이 전 세계 APT 작전을 주도하고 있으며, 정보 수집을 목표로 하는 캠페인이 가장 일반적이고 지속적인 위협 중 하나임을 강조합니다. Billbug로 알려진 중국과 연계된 스파이 조직은 2024년 8월부터 2025년 2월까지 동남아시아 여러 산업 분야의 여러 조직을 침해하는 것으로 관찰되었으며, 로더 정보 탈취 악성코드 및 리버스 SSH 유틸리티 같은 새로운 맞춤형 도구를 사용했습니다.
중국 연계 위협 행위자에 의한 Billbug 공격 탐지
전 세계적인 긴장이 계속 고조됨에 따라 국가 지원 위협 행위자들이 더 활성화되고 방법이 더욱 정교해지고 있습니다. 사이버 스파이 활동이 중심이 되었으며, 공격이 점점 더 타겟화되고 탐지하기 어려워지고 있습니다. 최근 사례로는 Billbug 그룹의 캠페인이 있으며, 이들은 아시아 전역의 조직을 집중적으로 표적 삼고 있습니다.
새로운 위협을 확장하고 귀하의 조직에 대한 Billbug 공격의 잠재적 위협을 대비하기 위해, SOC Prime 플랫폼 은 공격자의 TTP을 다루는 관련 Sigma 규칙 세트를 제공합니다. 아래의 탐지 탐색 버튼을 눌러 전용 규칙 세트에 즉시 액세스하십시오.
이 규칙은 다중 SIEM, EDR 및 데이터 레이크 솔루션을 지원하며 MITRE ATT&CK® 에 매핑되어 위협 조사를 간소화합니다. 탐지는 또한 링크, 공격 타임라인, 조회 권장 사항 등을 포함한 광범위한 메타데이터로 풍부하게 합니다. CTI 보안 전문가들은 국가 지원 행위자들이 사용하는 TTP를 다루는 더 많은 탐지 콘텐츠를 원하는 경우
태그를 사용하여 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군을 통해 실시간 위협 인텔을 지원하는 더 광범위한 탐지 알고리즘 모음을 탐색할 수 있는 위협 탐지 시장을 탐색할 수 있습니다.APTBillbug 공격 분석
Billbug (Lotus Blossom, Lotus Panda, Bronze Elgin, Spring Dragon 또는 Thrip로도 알려짐)로 추적되는 중국 지원 그룹은 동남아시아 조직에 사이버 스파이 공격을 일으켜 정부 부처, 항공 교통 관제 기관, 통신 제공업체 및 건설 회사를 침투했습니다. 적들은 또한 한 동남아시아 국가의 뉴스 에이전시와 이웃 국가의 항공 화물 운송업체를 침해했습니다. 적들은 로더, 자격 증명 탈취자 및 리버스 SSH 유틸리티를 포함한 맞춤형 도구를 사용했습니다.
Billbug는 적어도 2009년 이후로 사이버 위협 분야에서 활발히 활동하고 있습니다. 이전에 Billbug는 PsExec를 사용하여 Infostealer.Catchamas를 배포하는 것으로 관찰되었으며, 이를 통해 미국과 동남아시아의 방위, 지리정보, 통신 부문에서 추가 침입이 발견되었습니다. 2019년 이후로 Billbug는 Hannotog 및 Sagerunex와 같은 맞춤형 백도어를 사용하여 아시아의 군사, 미디어, 교육 기관을 대상으로 점진적으로 지속하는 셸을 사용하고 있습니다. 그들의 작전은 필리핀, 베트남, 홍콩 및 대만에서 정부 기관, 제조업, 통신 및 미디어 분야를 성공적으로 타격했습니다. 2022년, 이 그룹은 증명서 권한 기관을 침해하여 디지털 증명서를 이용한 은밀한 공격의 가능성에 대한 우려를 일으켰습니다.
일부 그룹의 침입 가운데, 공격자들은 Trend Micro와 Bitdefender의 정식 실행 파일을 악용하여 악성 DLL을 사이드로드했습니다.
및 다른 모듈인 sqlresourceloader.dll도 사이드로드된 것으로 보입니다. 최신 및 다른 모듈인 sqlresourceloader.dll도 사이드로드된 것으로 보입니다. 최신 Symantec의 연구 에 따르면, 동남아시아에 대한 공격 중에 그룹은 ChromeKatz 및 CredentialKatz를 사용하여 크롬 자격 증명 및 쿠키를 수집했으며 포트 22에서 맞춤형 리버스 SSH 리스너를 사용했습니다. 또한 적들은 내부 서비스를 노출하기 위해 Zrok 공공 P2P 터널링 도구를 악용하였고, 를 사용하여 파일 타임스탬프를 조작하고 포렌식 분석을 방해했습니다. 를 사용하여 파일 타임스탬프를 조작하고 포렌식 분석을 방해했습니다. 중국 지원 행위자와 관련된 사이버 스파이 활동의 급증이 글로벌 사이버 보안 환경에 계속 우려를 일으키고 있습니다. Billbug APT 그룹은 적어도 2009년 이후로 활동 중이며, 동남아시아 전역의 정부, 통신, 항공 및 미디어 등 중요한 부문을 대상으로 한 작전을 강화했습니다. 맞춤형 도구, 자격 증명 탈취자, 리버스 SSH 리스너 및 사이로드된 악성코드를 활용하여, 그룹은 일관된 은밀성과 지속성의 초점을 보여줍니다. 이는 조직이 방어를 강화하고 진화하는 APT 전술을 앞서 방어해야하는 긴급한 필요성을 강조합니다. 조직은
SOC Prime의 완전한 제품군 , AI 및 최첨단 기술을 융합하여 조직의 사이버 보안 태세를 위험 최적화할 수 있습니다., backed by AI and fusing cutting-edge technologies, to risk-optimize the organization’s cybersecurity posture.
