Home > 전체기사

중국 해커조직, 미국·유럽·동남아 지역 대형 통신사들 공격하고 있다

  |  입력 : 2021-03-17 15:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국의 APT 단체가 미국, 유럽, 동남아시아 지역의 대형 통신사들을 공격하는 것이 발견됐다. 이들이 노리는 건 5G와 관련된 사업 및 기술 기밀로 보인다고 한다.

[보안뉴스 문가용 기자] 중국의 APT 단체들이 미국, 유럽, 동남아시아의 대형 통신사들을 겨냥해 공격을 실시하고 있다는 경고가 나왔다. 이들이 노리는 건 5G와 관련된 사업 및 기술 기밀로 보인다고 한다. 이 작전에는 디안순작전(Operation Diànxùn)이라는 이름이 붙었다.

[이미지 = utoimage]


맥아피는 이번 작전을 수행하는 공격자들에게서 무스탕 판다(Mustang Panda)라는 공격자들의 흔적이 많이 나타난다고 설명한다. 수년 전부터 일부 보안 업체들이 발견해 보고한 공격 단체로, 중국 정부와 관련이 있는 것으로 여겨지고 있다.

맥아피가 조사한 바에 의하면 공격자들은 먼저 피해자들을 중국의 글로벌 통신회사 구인구직 웹사이트로 유도한 것으로 보인다고 한다. 물론 해당 웹 페이지는 가짜다. 공격자들이 최초 접근을 어떤 식으로 이뤄냈는지는 아직 정확히 밝혀내지 못했다. 또한 어떤 술수를 써서 가짜 페이지로 이끄는지도 아직 분석되지 않았다. 다만 공격자들에게 속아 접속한 피해자들은 대부분 아무런 의심을 하지 않았을 것으로 보인다고 한다. 가짜 페이지가 진짜 페이지와 너무나 똑같아 보이기 때문이다. 거기서 피해자들은 멀웨어를 다운로드 받도록 안내됐다. 플래시 애플리케이션으로 포장되어 있었기 때문에 의심을 사지 않았다고 한다. 이 멀웨어는 코발트 스트라이크(Cobalt Strike)인 것으로 알려졌다.

맥아피의 수석 보안 연구원인 토마스 로시아(Thomas Roccia)는 “현재까지 발굴된 데이터만 보면 무스탕 판다가 다시 한 번 움직이기 시작한 것으로 보인다”며 “이번 캠페인의 표적은 통신사들”이라고 지적했다. “게다가 이번 공격과 관련된 피해 조직들 대다수가 최근 중국으로부터 5G 기술을 도입하는 것에 대해 부정적인 입장을 가지고 있는 지역에서 발견되고 있었습니다. 차세대 통신 기술과 관련된 움직임이 분명합니다.”

무스탕 판다가 처음 발견된 건 2014년의 일이다. 당시에도 중국 정부에 도움이 되는 작전들을 주로 실행했고, 따라서 중국 정부의 지원을 받는 단체로 분류됐었다. 2017년에는 보안 업체 크라우드스트라이크(CrowdStrike)가 미국 싱크탱크와 비정부 조직들을 겨냥한 무스탕 판다의 움직임을 공개하기도 했었다. 당시 피해자들은 몽고 정부나 몽고 조직들과 관련이 있었다.

그러다가 2020년 5월과 9월 사이, 일부 보안 업체들이 무스탕 판다를 또 한 번 발견했다. 바티칸, 홍콩, 이탈리아의 가톨릭 조직들을 겨냥한 공격을 2018년부터 실시해오던 것이 뒤늦게 발견된 것이었다. 2018년 중국과 바티칸은 중국 내 가톨릭 교인들과 관련된 협약을 맺었는데, 이 협약이 있기 전 무스탕 판다가 관련 조직들로부터 정보를 캐낸 것으로 추정되었다. 그 외에도 티베트와 관련된 조직들을 공격하는 것 역시 2020년에 목격된 바 있다.

과거 무스탕 판다는 플러그엑스(PlugX)라는 원격 접근 트로이목마를 공격에 활용했다. 그러나 플러그엑스가 무스탕 판다의 전용 공격 도구는 아니다. 2008년부터 여러 공격 단체들이 플러그엑스를 활용했었다. 플러그엑스는 주로 파일을 훔치거나 임의로 수정하는 데에 활용되며, 버전에 따라 멀웨어 다운로드와 키스트로크 로깅이 가능하기도 하다. 그러나 이번 캠페인에서 무스탕 판다는 플러그엑스가 아니라 코발트 스트라이크를 활용했다.

3줄 요약
1. 미국과 유럽, 동남아시아에서 대형 통신사, APT 공격 당함.
2. 공격자는 과거에도 중국 정부에 친화적인 움직임 보였던 무스탕 판다.
3. 가짜 통신회사 구인구직 페이지로 유도해 코발트 스트라이크 담긴 멀웨어 다운로드 하도록 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화