APT41

APT41(Advanced Persistent Threat)은 중국에서 시작된 것으로 추정되는 해킹 그룹입니다. Winnti Group이라는 별칭으로도 알려져 있습니다. 이 이름은 맬웨어 전문가가 부여한 것으로 2011년에 처음 발견된 Winnti 백도어 트로이 목마라는 가장 악명 높은 해킹 도구 중 하나에서 따왔습니다. 이 해킹 그룹은 대부분 재정적 동기가 있는 것으로 보입니다.

주로 게임 산업을 대상으로 함

군사, 제약, 에너지 등과 같이 매우 중요한 산업을 표적으로 삼는 경향이 있는 대부분의 유명 해킹 그룹과 달리 Winnti Group은 게임 산업에서 활동하는 회사를 추적하는 것을 선호합니다. 그들의 첫 번째 가장 인기 있는 해킹 도구인 Winnti 백도어 트로이 목마도 당시 매우 인기가 있었던 온라인 게임의 가짜 업데이트를 통해 전파되었습니다. 이 위협 요소가 발견되자 대부분의 사용자는 게임 개발자가 Winnti 트로이 목마를 사용하여 플레이어에 대한 데이터를 수집하고 있다고 추측하기 시작했습니다. 그러나 사이버 보안 연구원들이 Winnti 백도어 트로이 목마가 악의적인 제3자 행위자에 속한다는 사실을 확인하면서 이러한 소문은 곧 사라졌습니다.

정기적으로 도구 업데이트

APT41 그룹은 8년 동안 그들의 시그니처 해킹 도구인 Winnti Trojan을 사용해 왔지만 이 위협이 구식이고 무해하다고 단 1초도 생각하지 않습니다. 전혀 그렇지 않습니다. Winnti Group은 이 해킹 도구를 정기적으로 업데이트하여 맬웨어 전문가보다 한 발 앞서 있습니다. 해킹 그룹은 수년 동안 도구를 더욱 무기화했을 뿐만 아니라 Winnti 백도어 트로이 목마가 가능한 한 오랫동안 숨어 있는 악성 활동의 흔적을 최소화하도록 했습니다.

수집된 디지털 인증서 사용

APT41 해킹 그룹의 트레이드마크 중 하나는 특정 기업의 네트워크에 침투해 디지털 인증서를 훔치는 것이다. 이 작업이 완료되면 동일한 부문에서 운영되는 조직을 대상으로 캠페인을 시작할 수 있습니다. 멀웨어 전문가들은 Winnti Group의 속임수를 인지하고 인증서 획득이 취소되도록 쉼 없이 노력하고 있지만 이 프로세스를 완료하는 데 오랜 시간이 소요되어 Winnti Group의 악의적인 활동이 중단 없이 수행되는 경우가 많습니다. .

APT41 그룹의 다른 도구로는 BOOSTWRITE 악성코드, PortReuse 백도어 트로이 목마 및 ShadowPad 백도어가 있습니다.