2024-03-28 21:15 (목)
중국 해커조직, 러시아와 벨라루스 군사-우주비행 기관 해킹
상태바
중국 해커조직, 러시아와 벨라루스 군사-우주비행 기관 해킹
  • 길민권 기자
  • 승인 2017.02.13 21:42
이 기사를 공유합니다

2016년 여름부터 ZeroT라고 불리는 새로운 다운로드 프로그램 사용해 공격

cisco-7.jpg
보안기업 ProofPoint의 보고에 따르면, 중국해커 조직이 러시아와 벨라루스의 군사, 우주비행기관에 대한 지속적인 네트워크 사이버활동을 하고 있다고 전했다. 해당 조직은 2016년 여름부터 ZeroT라고 불리는 새로운 다운로드 프로그램을 사용해 원격접근 트로이목마 PlugX를 설치했다.

보고에서는 이전활동에서 해커조직이 통상적으로 마이크로소프트 워드 첨부파일을 이용해 CVE-2012-0158 취약점을 유발 하거나 악성URL를 사용해 문서의 .rar 압축프로그램을 실행했다.

이러한 행위는 예전부터 지속되어 왔지만, 2016년 6월부터 중국 해커조직은 공격전략을 바꾼것으로 알려졌다. 해커는 악성프로그램 ZeroT를 개발해 원격제어목마 PlugX설치에 사용했으며, 마이크로소프트의 HTML Help 파일형식(.chm)을 추가해 스피어 네트워크 피싱 이메일에 사용했다.

악성프로그램 ZeroT는 혼합기술을 사용해 탐지를 회피했으며, Windows UAC 사용자제어를 우회 기능으로 HTTP와 C&C서버를 통해 통신을 진행 할 수 있다. 또한 모든 요청에서 위조된 User-Agent를 사용할 수 있다.

중국의 해커의 미국과 유럽의 우주항공회사에 대한 스파이 행위는 지속적으로 진행되어 왔다. 작년 7월, 미국은 보잉과 록히드 마틴사의 네트워크에서 F-22, F-35전투기와 C-17수송기 자료를 절취한 협의로 중국 상인 쑤빈에게 46개월 감금형을 선고한바 있다.(뉴스제공. 씨엔시큐리티)

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★