흉포한 팬더
최근 몇 달 동안 사이버 범죄자 들이 코로나바이러스의 실제 위협을 이용해 멀웨어와 랜섬웨어를 퍼뜨렸다는 이야기가 여러 건 있었습니다. 이러한 위협은 전 세계적으로 확산되고 있지만 특히 중국에서 다수의 위협이 발생하고 있습니다. 중국 정부가 후원하는 해킹 그룹인 Vicious Panda가 코로나바이러스를 통해 자체 악성코드를 퍼뜨리기 시작할 정도로.
이 공격에 대한 정보는 중국 APT가 악성 맬웨어를 대중에게 퍼뜨리기 위해 코로나바이러스에 대한 합법적인 정보를 "무기화"했다는 연구 결과를 발표한 Check Point에서 나온 것입니다.
목차
두 번째 공격
Vicious Panda 공격은 실제로 지난 몇 주 동안 중국에서 발생한 두 번째 주요 코로나바이러스(COVID-19) 관련 악성코드 캠페인입니다. 첫 번째는 베트남 사이버 보안 그룹 VinCSS가 Mustang Panda의 공격을 감지한 3월 초에 발생했습니다. Mustang Panda는 중국 정부가 후원하는 또 다른 해킹 그룹입니다.
그들의 공격은 코로나바이러스에 대한 베트남 총리의 메시지가 포함되어 있다고 주장하는 RAR 파일이 첨부된 이메일을 배포한 것으로 알려져 있습니다. RAR 파일에는 중요한 메시지가 포함되어 있지 않고 피해자의 컴퓨터에 자체적으로 설치되어 해킹 그룹에 공개되는 백도어 트로이 목마가 포함되어 있습니다.
사악한 팬더, 몽골 정부 공격
Vicious Panda 공격은 몽골 정부 조직을 목표로 삼았기 때문에 그룹을 감시하고 있다고 말한 Check Point에 의해 발견되었습니다. 첫 번째 공격과 마찬가지로 이 그룹은 사용자가 액세스하기 위해 다운로드해야 하는 코로나바이러스에 대한 중요한 정보가 있다고 주장했습니다.
체크포인트는 "몽골의 공공 부문 기관에 대한 중국 APT 그룹"의 사이버 공격을 차단할 수 있었다. 이 공격은 사회 공학 단계에서 코로나바이러스에 대한 두려움을 활용했습니다. 그 안에는 두 개의 문서가 들어 있었다. 문서 중 하나는 코로나19와 관련된 것으로 두 문서 모두 몽골 외무부에서 보낸 것이라고 주장했다. 이 문서는 피해자의 컴퓨터에 원격으로 액세스할 수 있는 고유한 맬웨어 위협과 함께 패키지로 제공되었습니다.
이메일 첨부 - 출처: research.checkpoint.com
빙산의 일각
불행히도 이 최신 공격은 새로운 것이 아니며 속담에 나오는 빙산의 일각에 불과합니다. 해커들은 항상 이런 종류의 위기를 자신에게 유리하게 이용했기 때문에 COVID-19를 이용하는 것을 거부할 수 없었습니다.
Check Point에 따르면 최신 중국 APT 문서는 '신종 코로나바이러스 감염 확산에 대하여'라는 제목이었습니다. 보다 진정성 있고 효과적인 것처럼 보이기 위해 중국 국가 보건 위원회를 인용합니다. 코로나19와 관련된 사이버 위협은 여럿 있었지만, 국책 해킹 그룹이 외국 정부를 상대로 한 것은 이번이 처음인 것으로 보인다.
Check Point는 일련의 코로나바이러스 관련 해킹 공격의 최신일 뿐만 아니라 이 공격이 다른 정부 및 조직에 대한 중국 해커의 진행 중인 캠페인 중 가장 최신 것이라고 말합니다. 차이점은 이것이 배포 방법의 일부로 코로나바이러스를 활용했다는 것입니다.
이 공격은 "새로운 사이버 감염 체인을 통해 [중국] 자신의 의제를 위해 코로나바이러스에 대한 공익을 악용하는 것"으로 설명되었습니다. 그들은 사악한 판다가 몽골뿐만 아니라 전 세계 국가를 목표로 삼고 있다고 말합니다. 그들은 모든 공공 부문 기관과 통신 회사가 잠재적인 사이버 위협, 특히 코로나바이러스에 대해 주장하는 모든 위협에 대해 경계할 것을 촉구합니다.
이메일과 문서는 몽골 정부 내에서 온 것이라고 주장합니다. 그들 중 적어도 하나는 외무부 장관에게서 왔다고 주장했다. 캠페인은 몽골 공공 부문의 다른 부분을 대상으로 했습니다. 캠페인의 목적은 정부 컴퓨터에서 정보와 스크린샷을 수집하고 파일을 편집 및 삭제하고 해당 컴퓨터를 원격 제어하는 것으로 나타났습니다.
사악한 판다 랜섬웨어는 어떻게 작동합니까?
악성 첨부 파일에는 컴퓨터를 제어할 수 있는 RAT(원격 액세스 트로이 목마)가 포함되어 있습니다. 트로이 목마는 명령 및 제어 서버에 대한 연결이 제한되도록 프로그래밍되어 있어 탐지가 더 어려울 수 있습니다. 페이로드의 구조는 나중에 더 큰 캠페인의 일부로 설치하도록 예약된 다른 모듈을 포함할 수 있음을 나타냅니다. Check Point가 알 수 있는 바에 따르면 공격에 사용된 맬웨어는 완전히 독특하고 맞춤형으로 설계된 변종이지만 정확히 작동 방식과 기능은 매우 일반적입니다.
사악한 팬더 감염 사슬 - 출처: research.checkpoint.com
Check Point는 지휘 통제 센터가 있는 곳과 같은 캠페인의 다른 부분을 분석했습니다. 하지만 결국 이 악성코드는 국가가 후원하는 캠페인에 불과합니다. 소셜 엔지니어링을 사용하여 사용자가 첨부 파일을 다운로드하고 열도록 권장합니다. 첨부 파일은 다른 파일을 로드하고 컴퓨터에 백도어를 설치합니다. 그러면 중국은 그 백도어를 악용하여 정부 목표물을 염탐할 수 있습니다.
Cybercrooks는 중국과 코로나 바이러스를 계속 활용할 것입니다
최상위 푯말은 공격의 배후를 정확히 찾아내기에 충분한 정보를 제공하지 않지만, 체크포인트는 악성코드 코드를 파헤쳐 중국과 관련된 다른 악성코드에 사용된 코드와 유사한 것을 발견했습니다. 그 캠페인은 또한 중국의 적을 겨냥했습니다.
코로나바이러스의 진원지인 중국은 많은 기만적인 방법으로 바이러스를 자신의 이점으로 사용하고 있습니다. 그러나 현재 위협 행위자가 사용할 수 있는 최고의 사회 공학 도구이기 때문에 그들이 코로나바이러스를 사용하는 것은 놀라운 일이 아닙니다. 일반 사이버 범죄자들조차 이를 자신의 캠페인에 활용하고 있습니다.
