대거플라이(Daggerfly) APT 그룹

Daggerfly로 알려진 베이징 산하 국가 후원 해킹 그룹이 대만의 조직과 중국에서 활동하는 미국 비정부 기구(NGO)를 표적으로 삼았습니다. 그들은 이러한 공격에 향상된 맬웨어 도구 모음을 사용했습니다. 이 캠페인은 해당 그룹이 내부 스파이 활동도 수행하고 있음을 나타냅니다. NGO를 공격하는 동안 해커는 Apache HTTP 서버의 취약점을 이용하여 MgBot 악성 코드를 배포했습니다.

Daggerfly APT(지능형 지속 위협) 그룹의 위협적인 무기고

Bronze Highland 및 Evasive Panda로도 알려진 Daggerfly는 2012년부터 아프리카의 통신 서비스 제공업체를 표적으로 하는 정보 수집 작업에 MgBot 모듈식 악성 코드 프레임워크를 사용해 왔습니다. 이 그룹은 탐지에 대응하여 도구 세트를 신속하게 업데이트하는 데 능숙하여 다음과 같은 작업을 수행할 수 있습니다. 최소한의 방해로 간첩 활동을 계속합니다.

최신 공격에는 MgBot에서 파생된 새로운 악성 코드 계열과 2021년 11월에 처음 확인된 macOS 악성 코드인 MACMA 의 향상된 버전이 포함됩니다. MACMA는 처음에 Safari의 취약점을 악용하는 워터링 홀 공격을 통해 홍콩 사용자를 대상으로 배포되었습니다.

이는 MACMA가 특정 해킹 그룹에 처음으로 명시적으로 연결되어 민감한 정보를 수집하고 임의 명령을 실행할 수 있는 능력이 드러난 것입니다. 증거에 따르면 MACMA 제작자는 ELF/Android 개발자의 코드를 재사용하여 잠재적으로 Android 장치도 대상으로 삼을 수 있습니다.

MACMA와 Daggerfly의 연관성은 MgBot과의 소스 코드 중복과 MgBot 드로퍼에서 사용하는 명령 및 제어(C2) 서버(103.243.212.98)와 통신한다는 사실로 더욱 뒷받침됩니다.

Daggerfly가 활용하는 추가 악성 코드 위협

그룹 무기고에 추가된 또 다른 제품은 Nightdoor(NetMM 및 Suzafk라고도 함)입니다. 이 임플란트는 명령 및 제어(C2)용 Google Drive API를 활용하며 최소 2023년 9월부터 티베트 사용자를 대상으로 하는 워터링 홀 공격에 사용되었습니다. 이 활동은 3월에 처음 문서화되었습니다.

이 그룹은 주요 운영 체제용 도구 버전을 개발하는 능력을 입증했습니다. 연구원들은 트로이 목마에 감염된 Android APK, SMS 차단 도구, DNS 요청 차단 도구 및 Solaris OS를 표적으로 삼는 악성 코드의 증거를 관찰했습니다.

맬웨어 위협으로부터 장치를 보호하는 방법은 무엇입니까?

맬웨어 위협으로부터 장치를 보호하려면 기술, 모범 사례 및 사용자 경계를 결합하는 다각적인 접근 방식이 필요합니다. 사용자가 장치를 보호하기 위해 구현해야 하는 최선의 조치는 다음과 같습니다.

• 맬웨어 방지 소프트웨어 설치 및 정기적으로 업데이트 : 평판이 좋은 보안 소프트웨어를 사용하여 맬웨어를 탐지하고 제거하여 최신 위협으로부터 보호할 수 있도록 항상 최신 상태를 유지합니다. 또한 실시간 검색을 활성화하여 지속적으로 액세스되는 파일 및 다운로드를 모니터링할 수 있습니다.
• 운영 체제 및 소프트웨어 업데이트 유지 : 최신 보안 패치를 즉시 받을 수 있도록 운영 체제, 브라우저 및 애플리케이션에 대한 자동 업데이트를 활성화합니다. 자동 업데이트에 액세스할 수 없는 경우 정기적으로 확인하고 수동으로 설치하여 보안을 유지하세요.
• 방화벽 사용 : 운영 체제에 내장된 방화벽이 활성화되어 무단 액세스를 차단하는지 확인하세요. 특히 가정이나 회사 네트워크에서 추가 보호를 받으려면 하드웨어 방화벽을 사용하는 것이 좋습니다.
• 안전한 브라우징 습관 실천 : 신뢰할 수 없어 보이거나 의심스러운 콘텐츠가 있는 웹사이트를 방문하지 마세요. 평판이 좋고 공식적인 소스에서 소프트웨어를 다운로드하고 무료 다운로드를 제공하는 팝업이나 광고를 클릭하지 않도록 하여 맬웨어의 위험을 최소화하세요.
• 강력한 비밀번호 및 2단계 인증(2FA) 사용 : 항상 다른 계정에 대해 충분히 강력한 비밀번호를 사용하고 정기적으로 변경하십시오. 2FA를 활성화하면 또 다른 보안 계층을 갖게 되어 잠재적인 해커가 액세스하는 것이 더 복잡해집니다.
• 이메일 및 첨부 파일에 주의하세요 . 개인 정보를 공개하거나 악성 코드를 다운로드하도록 속이기 위해 고안된 피싱 이메일에 주의하세요. 이메일 첨부 파일에 액세스하거나 알 수 없거나 의심스러운 출처의 링크를 클릭하지 마십시오.
• 정기적으로 데이터 백업 : 중요한 데이터를 외장 하드 드라이브나 클라우드 서비스에 정기적으로 백업하여 악성 코드 공격 시 정보를 복구할 수 있습니다. 정기적으로 백업이 완료되어 성공적으로 복원될 수 있는지 확인하십시오.
• 광고 차단기 및 추적 방지 도구 사용 : 사기성 광고가 발생할 위험을 줄이려면 광고 차단기를 설치하세요. 또한 추적 스크립트를 차단하는 브라우저 확장 프로그램을 사용하여 검색 데이터가 수집되지 않도록 보호하세요.
• 네트워크 보안 : 라우터 및 기타 네트워크 장치의 모든 기본 사용자 이름과 비밀번호를 변경하세요. Wi-Fi 네트워크에 강력한 암호화(WPA3 또는 WPA2)를 사용하고 WPS를 비활성화하여 보안을 강화하세요.
• 자신과 다른 사람을 교육하십시오 . 최신 보안 위협과 모범 사례에 대한 최신 정보를 얻으십시오. 가족이나 직원에게 안전한 온라인 행동과 잠재적인 위협에 대해 교육하여 모든 사람이 이를 인지하고 경계하도록 하세요.

모든 장치에 이러한 조치를 통합함으로써 사용자는 맬웨어 감염 위험을 줄이고 전반적인 보안을 크게 향상시킬 수 있습니다.