고스트스파이더 백도어

번역 :

Earth Estries라는 중국과 연계된 정교한 사이버 스파이 그룹은 동남아시아와 그 너머의 통신 및 정부 기관을 표적으로 삼았습니다. 이 그룹은 GhostSpider라는 문서화되지 않은 백도어를 사용하는 것을 포함하여 중요한 산업에 침투하기 위해 다양한 고급 기술을 사용했습니다. 이 위협 행위자는 또한 여러 가지 취약점을 악용하여 대상에 대한 무단 액세스를 얻는 것으로 관찰되었으며, 이는 중국의 사이버 역량이 점점 더 정교해지고 있음을 보여줍니다.

GhostSpider: 문서화되지 않은 백도어

Earth Estries의 무기고에 새로 추가된 GhostSpider는 네트워크에 침투하는 주요 방법으로 사용되었습니다. 이 백도어는 매우 타깃이 잡혀 있으며, 동남아시아 통신 회사의 인프라의 약점을 악용하도록 특별히 제작되었습니다. Earth Estries는 이 도구를 MASOL RAT(Backdr-NQ라고도 함)와 함께 사용하여 Linux와 정부 네트워크 시스템을 모두 타깃으로 삼습니다. 맞춤형 맬웨어를 사용하는 이 그룹의 전략은 손상된 네트워크 내에서 지속적인 존재를 보장하여 장기적인 사이버 간첩 활동을 가능하게 합니다.

글로벌 도달 범위: 다양한 부문을 타겟팅

Earth Estries는 통신, 기술, 컨설팅, 운송, 화학 산업 및 정부 기관을 포함한 광범위한 부문을 손상시키는 데 상당한 진전을 이루었습니다. 이 그룹의 활동은 아프가니스탄, 브라질, 인도, 인도네시아, 말레이시아, 남아프리카, 미국 및 베트남을 포함한 12개국 이상에서 20명 이상의 피해자를 대상으로 합니다. 이러한 광범위한 타겟팅은 그룹의 역량과 야망을 강조하며, 특히 미국 정부와 민간 부문에서 약 150명의 피해자가 그들의 활동으로 인해 영향을 받은 것으로 추정됩니다.

지구의 도구 Estries

The Earth Estries가 보유한 많은 도구 중에서 Demodex 루트킷과 Deed RAT(SNAPPYBEE라고도 함)가 두드러진다. 이러한 도구는 Crowdoor와 TrillClient와 같은 다른 도구와 함께 그룹의 운영에 필수적이다. 중국 APT 그룹에서 널리 사용하는 맬웨어 패밀리인 ShadowPad는 후속작으로 유력한 Deed RAT의 개발에 영향을 미친 것으로 여겨진다. 이러한 고급 백도어와 정보 도용기를 통해 The Earth Estries는 대상으로부터 민감한 정보를 빼내는 동안 숨겨진 상태를 유지할 수 있다.

초기 접근을 위한 취약점 악용

Earth Estries는 대상에 접근하기 위해 N-day 취약성에 크게 의존합니다. N-day 취약성은 공개적으로 공개되었지만 아직 사용자가 패치하지 않은 소프트웨어의 결함입니다. 가장 일반적으로 악용되는 취약성에는 Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall 및 Microsoft Exchange Server의 취약성이 포함됩니다. 이러한 취약성이 악용되면 Earth Estries는 사용자 지정 맬웨어를 배포하여 장기적인 감시 및 데이터 수집을 위해 손상된 네트워크에 더욱 침투합니다.

복잡하고 잘 조직된 그룹

Earth Estries는 매우 체계적이고 조직적인 접근 방식으로 운영됩니다. 여러 캠페인을 분석한 결과, 그룹 내의 여러 팀이 특정 지역과 산업을 표적으로 삼는 것으로 보입니다. 그룹의 명령 및 제어(C2) 인프라도 분산되어 있으며, 각기 다른 팀이 서로 다른 백도어 작업을 관리합니다. 이러한 세분화를 통해 다양한 부문에서 보다 복잡하고 조정된 일련의 공격이 가능합니다.

GhostSpider: 다중 모듈 임플란트

Earth Estries의 운영의 핵심은 GhostSpider 임플란트입니다. 이 정교한 도구는 TLS(Transport Layer Security)로 보호되는 사용자 지정 프로토콜을 통해 공격자가 제어하는 인프라와 통신합니다. 이 임플란트는 필요에 따라 추가 모듈을 검색하여 기능을 확장할 수 있습니다. 유연성 덕분에 장기 사이버 스파이를 위한 강력한 도구가 되어 Earth Estries가 상황에 따라 운영을 적응하고 발전시킬 수 있습니다.

은밀 및 회피 전술

Earth Estries는 감지를 피하기 위해 다양한 스텔스 기술을 사용합니다. 이 그룹은 엣지 디바이스에서 공격을 시작하여 점차 클라우드 환경으로 범위를 확장하여 존재를 감지하기 어렵게 만듭니다. Earth Estries는 낮은 프로필을 유지하고 인프라 계층 뒤에 숨어서 활동이 장기간 감지되지 않도록 보장하여 중단 없는 데이터 수집이 가능합니다.

통신 회사: 자주 표적이 되는 회사

통신 회사는 오랫동안 중국과 관련된 사이버 위협 그룹의 주요 표적이 되어 왔으며, Earth Estries는 Granite Typhoon 및 Liminal Panda와 같은 다른 그룹의 대열에 합류했습니다. 이러한 공격은 중국의 사이버 프로그램이 일회성 공격에서 대량 데이터 수집 및 중요 서비스 제공자를 대상으로 하는 지속적인 캠페인으로 전환되었음을 보여줍니다. Earth Estries가 관리 서비스 제공자(MSP), 인터넷 서비스 제공자(ISP) 및 플랫폼 제공자에 초점을 맞춘 것은 중국이 글로벌 통신 네트워크에 지속적으로 액세스하려는 전략의 변화를 나타냅니다.

결론: 증가하는 사이버 스파이 위협

Earth Estries가 계속 운영을 확장함에 따라 중국과 관련된 사이버 스파이 그룹의 역량이 커지고 있음을 보여줍니다. 중요한 인프라 부문에 초점을 맞춘 정교한 맬웨어 사용은 잘 조직되고 진화하는 위협을 보여줍니다. 영향을 받는 지역의 조직에 있어서 강화된 경계와 강력한 사이버 보안 조치의 필요성은 그 어느 때보다 절실합니다.