중국과 관련 있어 보이는 해킹 단체, 고급 멀웨어 사용해 정보 수집 중

https://m.boannews.com/html/detail.html?tab_type=1&idx=106727 

중국과 관련 있어 보이는 해킹 단체, 고급 멀웨어 사용해 정보 수집 중

 

모듈 구성의 파일레스 멀웨어인 아이스애플이 발견

탐지와 분석을 방해하는 기능도 빼어나 좀처럼 찾아내기가 힘든 멀웨어

현재까지의 피해 규모나 배후 세력에 대해서도 뭔가 명확히 나온 것이 하나도 없음

 

중국 정부의 지원을 받고 있는 것으로 보이는 해킹 단체가 고급 멀웨어 프레임워크를 마이크로소프트 익스체인지 서버들에 심고 있다는 사실이 뒤늦게 확인됨

기술 업계와 학계, 정부 기관들이 주요 공격 대상이며, 이러한 캠페인은 최소 지난 가을부터 시작된 것으로 추측

 

아이스애플(IceApple) : 첩보 수집을 위해 공격자들이 사용하는 악성 프레임워크

• 정부의 지정학적 활동과 밀접한 관계에 있는 첩보들이 특히 대상이 됨
• 18개의 모듈로 구성되어 있으며, 덕분에 크리덴셜 수집, 파일 삭제, 디렉토리 삭제, 데이터 유출 등 다양한 악성 행위를 할 수 있음
• 이 모듈들은 전부 메모리 내에서만 돌아가게 되어 있으며, 덕분에 피해자 시스템에서 아이스애플의 흔적을 찾아내는 것은 대단히 어려운 일 ( -> ‘파일레스’ 공격 전략은 장기적인 공격을 진행할 때 흔히 활용됨)
• 탐지와 분석을 회피하고 방해하는 기능도 충실히 갖추고 있음
• 현재까지 주로 익스체인지 서버의 인스턴스들만 공격한다는 점도 특이한 활동
• 모듈들이 디스크에 흔적을 남기지 않아 피해자가 악성 행위를 파악하기 어려움
• 인터넷 정보 서비스(IIS) 내에 존재하지만 문서화 되지 않은 필드를 활용 ( -> 어셈블리 파일 이름들을 정상적인 IIS 임시 파일처럼 보이게 만들어 환경 속에 자연스럽게 녹아들어가기도 함 => 마이크로소프트 서비스의 숨은 기능을 대단히 깊이 이해하고 있음)