check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

중국 기반 APT15, 영국 정부 서비스 제공 업체에 백도어 공격

hsk 기자 mkgil@dailysecu.com 2018년 03월 13일 화요일

hacker-2300772_640.jpg
지난주 카스퍼스키랩 보안 분석 서밋에서 NCCGroup의 수석 멀웨어 연구원인 Ahmed Zaki는 중국과 관련된 APT15 그룹의 영국 정부 서비스 제공 업체를 타깃으로 한 멀웨어 기반 공격의 상세 내용을 발표했다. APT15 그룹은 △Ke3chang, △Mirage, △Vixen Panda, △Playful Dragon으로도 불린다.

NCCGroup 블로그 포스트는 “2017년 5월 NCCGroup의 위협 대응팀은 영국 정부에 광범위한 서비스를 제공하는 클라이언트가 위협 그룹 APT15와 관련된 네트워크 침해 사고로 피해를 받아 이에 대응했다”고 언급했다.

NCC는 피해를 입은 클라이언트의 요청에 따라 2017년 6월에 조사를 중단했지만, APT15 그룹이 클라이언트 네트워크에 다시 액세스하자 8월 조사를 재개했다. APT15는 훔친 VPN 인증서로 회사 VPN 솔루션을 통해 다시 접근할 수 있었다.

해당 공격은 다양한 영국 정부 부처와 군대 조직 계약자들을 겨냥한 광범위한 작전의 일부일 가능성이 높다. APT15는 적어도 2010년 이래로 활동을 해왔고, 전세계를 타깃으로 하는 사이버 간첩 캠페인을 벌여왔다. 수년에 걸쳐 발전하는 모습을 보여왔고 특정 사용자를 타깃으로 하는 악성 코드 및 다양한 공격 기법을 사용했다.

NCCGroup은 최근 APT15와 관련된 멀웨어와 함께 두 개의 새로운 백도어를 발견했다. 백도어 중 하나는 바이너리 파일에 남아있는 디버깅 경로로 인해 RoyalCli로 추정되었고, BS2005 백도어의 후속으로 보인다.

NCC는 “공격을 분석하는 동안 APT15의 툴셋에 포함된 새로운 백도어를 확인했다. 이들이 그동안 사용해온 BS2005가 이제는 RoyalCli, RoyalDNS와 함께 나타난다. RoyalCli 백도어는 BS2005를 발전시킨 형태로 보이며, 익숙한 암호화 및 인코딩 루틴을 사용한다”고 설명했다.

RoyalCl와 BS2005 모두 COM 인터페이스 IWebBrowser2를 사용하여 인터넷 익스플로러를 통해 C&C 서버와 통신한다. 공격자는 윈도우 명령을 사용하여 첩보 활동을 수행하고, net 명령과 호스트의 C$ 공유를 결합해 손상된 호스트 간에 수동으로 파일을 복사하는 방식을 사용했다.

RoyalDNS 백도어는 DNS를 사용해 C&C 서버와 통신하고 DNS를 통해 백도어가 리턴하는 명령을 실행한다. IoC를 포함한 더 자세한 정보는 블로그 포스트에서 볼 수 있다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
태그 APT, 해킹그룹
목록