미국 기업에 대한 4개월간의 사이버 공격으로 중국 해커와 관련된 고급 위협이 노출됨

최근에 밝혀진 사이버 공격으로 미국의 주요 조직을 표적으로 삼은 매우 정교한 작전이 밝혀졌으며, 증거는 중국의 국가 지원 해커를 지적합니다. Broadcom 소유의 Symantec의 보고서에 자세히 설명된 이 놀라운 침입은 올해 최소 4개월 동안 진행되었으며, 4월부터 시작되었고 잠재적으로는 그보다 일찍 시작될 수도 있습니다. 이 공격의 범위와 방법은 사이버 적대자들의 진화하는 전략과 전 세계의 중요한 조직이 직면한 위험을 강조합니다.

정교한 전술과 도구는 고급 위협을 강조합니다.

시만텍은 2024년 4월 11일에 처음으로 침해 징후를 확인했고, 공격이 8월까지 지속되었음을 발견했습니다. 이 기간 동안 공격자는 피해자의 네트워크를 가로질러 이동하여 수많은 컴퓨터를 손상시켰습니다. 타깃이 된 시스템 중 일부는 Microsoft Exchange Server였는데, 이는 공격자가 민감한 이메일 데이터에 액세스하여 정보를 수집하려고 했다는 것을 시사합니다.

캠페인 중에 배치된 유출 도구는 피해자의 인프라에서 귀중한 정보가 추출되었음을 더욱 확실히 합니다. 해커는 오픈소스 도구와 기본 제공 Windows 유틸리티를 결합하여 공격을 더욱 심화했습니다. FileZilla, Impacket, PSCP와 같은 도구는 Living-off-the-land 기술과 함께 배치되어 Windows Management Instrumentation(WMI), PsExec, PowerShell을 활용하여 악성 명령을 실행하고 합법적인 네트워크 활동에 섞였습니다.

중국의 역할과 사이버 스파이 기술의 활용

표적 조직의 이름은 공개되지 않았지만, 중국에서 수행된 중요한 작전은 공격자가 중국 국가 지원 그룹과 관련이 있다는 의심에 무게를 더합니다. 사이버 공격은 중국 해킹 팀의 특징적인 전술인 DLL 사이드 로딩에 크게 의존했습니다. 침해의 아티팩트는 이전에 국가 지원 작전이었던 "Crimson Palace"에서 관찰된 것과 일치합니다. 또한 이 조직은 2023년에 Daggerfly, Bronze Highland, Evasive Panda, StormBamboo라고도 알려진 그룹의 표적이 되었습니다.

사이버 보안에 대한 더 광범위한 의미

이 침해는 Orange Cyberdefense가 자세히 분석한 중국의 사이버 공격 생태계 내의 더 광범위한 추세를 반영합니다. 중국 국가가 지원하는 작전은 종종 공공 및 민간 기관 간의 경계를 모호하게 하며, 고급 연구를 위해 대학을 활용하고, 공격을 실행하기 위해 계약자를 고용합니다. 가짜 회사는 중국 군대 또는 정보 기관에 연결된 개인이 귀속을 숨기고, 디지털 인프라를 조달하고, 의심을 일으키지 않고 해커를 모집하기 위해 자주 설립됩니다.

이러한 발견은 중국 사이버 작전의 지속적이고 진보적인 본질을 강조합니다. 이 미국 기업을 표적으로 삼은 캠페인은 진화하는 위협 환경과 국가적 적대자로부터 중요한 자산을 보호하기 위한 강력한 사이버 보안 방어의 중요성을 뚜렷하게 상기시켜줍니다.