윈드시프트 APT

Mac 컴퓨터가 바이러스에 감염되지 않는다는 신화는 바로 신화입니다. 현실은 Mac 바이러스가 덜 일반적이라는 것입니다. 그것들은 여전히 존재하지만, 해킹 그룹은 그것들을 생성하는 것을 우선순위로 두지 않습니다. 그러나 종종 WindShift와 같은 그룹이 등장합니다.

WindShift는 APT(Advanced Persistent Threat)로 간주되는 것입니다. 보안 연구원이 알고 추적하는 그룹입니다. APT의 인프라, 도구 및 대상은 일반적으로 면밀히 조사되기 때문에 잘 알려져 있습니다. 일부 그룹은 더 은밀하고 추적되지 않고 조용히 작동할 수 있습니다. 그 그룹을 주시하기가 더 어렵습니다. WindShift는 이러한 그룹 중 하나이며 연구원에 따르면 가장 이른 시기에 2017년부터 운영되었습니다.

WindShift APT는 주로 정찰 작업에 중점을 둡니다. 이 그룹은 정부 및 조직과 같은 큰 목표와 관련되어 있지만 미리 선택된 특정 목표를 추구하는 것으로 보입니다. 그들의 목표에 대한 흥미로운 점은 그들이 완전히 관련이 없어 보인다는 것입니다. 사이버 보안 연구원은 아직 대상 간의 단일 연결 링크를 찾지 못했습니다. WindShift는 또한 다른 그룹과 다른 접근 방식을 취합니다. 이 그룹은 다른 그룹처럼 정보를 얻기 위해 멀웨어와 랜섬웨어에 크게 의존하지 않습니다. 대신 이 APT는 정교한 사회 공학을 사용하여 대상에서 미묘하게 데이터를 얻습니다. 대부분의 표적은 너무 늦을 때까지 아무 것도 잘못되었다는 사실조차 깨닫지 못합니다.

이러한 은폐에 대한 의존 덕분에 그룹은 들키지 않고 장기간 작전을 수행할 수 있습니다. WindShift 캠페인은 한 번에 몇 달 동안 지속되는 것으로 알려져 있습니다. 전문가들은 WindShift가 공격한 표적 중 일부가 그룹이 실제 해킹 작업을 시작하기 몇 달 전에 관찰되었다고 제안합니다. WindShift는 가짜 소셜 미디어 계정을 사용하여 관련 주제에 대해 대상과 토론하고 가짜 출판물을 통해 매력적인 콘텐츠를 만드는 방식으로 이를 수행합니다. 그들은 목표와 연결하여 신뢰를 얻고 실제 공격 단계를 더 쉽게 만듭니다.

이 그룹은 또한 다양한 분석 도구를 사용하여 검색 습관 및 관심사를 포함하여 개인을 연구하고 관찰합니다. 그들은 이 정보를 사용하여 사회 공학 캠페인을 진행하고 더 많은 지식을 얻을 수 있습니다. WindShift는 공개적으로 사용 가능한 도구와 자체 제작한 유틸리티를 모두 사용했습니다. 그룹이 대상이 좋아하는 것에 대한 정보를 수집하는 한 가지 방법은 합법적인 웹 페이지에 대한 링크를 보내는 것입니다.

해커는 작업하기에 충분한 정보가 있으면 대상으로부터 로그인 자격 증명을 얻으려고 시도합니다. 이 그룹은 무엇보다도 Apple iCloud 및 Gmail을 사용하여 대상으로부터 자격 증명을 얻었습니다. 그룹은 암호를 재설정해야 한다는 경고 메시지를 대상에게 보냅니다. 대상은 합법적인 것처럼 보이지만 정보를 훔치도록 설계된 스푸핑된 복구 페이지인 페이지로 전송됩니다. 대상이 속임수에 넘어가지 않으면 WindShift는 해킹 도구로 이동하여 원하는 정보를 얻습니다.

공개적으로 사용 가능한 도구를 사용하는 것 외에도 Windshift는 다음과 같은 몇 가지 사용자 지정 해킹 도구 및 위협을 만들었습니다.

• WindDrop – 2018년에 처음 발견된 Windows 시스템용으로 설계된 트로이 목마 다운로더입니다.
• WindTail – OSX 시스템용으로 설계된 맬웨어로, 기준에 맞는 특정 이름을 가진 특정 파일 유형이나 파일을 수집합니다. 또한 손상된 시스템에 추가 맬웨어를 심을 수 있습니다.
• WindTape – 스크린샷을 찍을 수 있는 OSX 시스템용으로 설계된 백도어 트로이 목마.

이러한 도구에는 DNS 설정을 조작하고 사용자를 다른 웹 페이지로 보내는 것과 같은 몇 가지 고급 기능이 있습니다. WindShift는 손상된 시스템의 인터넷 연결을 제어하고 대신 다른 웹사이트로 보낼 수 있습니다. 이 웹사이트는 실제처럼 보이도록 설계되었으며 대상으로부터 로그인 자격 증명 및 추가 정보를 얻는 데 사용됩니다.

WindShift APT는 의심할 여지 없이 주변에서 가장 특이한 해킹 그룹 중 하나입니다. 이 그룹은 알려진 다른 APT와 목표 및 공격에 대한 접근 방식이 다릅니다. 이 그룹은 사회 공학에 크게 의존하며 주로 Mac 컴퓨터를 대상으로 합니다. 이것이 해킹 세계에서 그들을 수수께끼로 만드는 이유입니다. 보안 연구원은 여전히 운영 절차와 동기를 파악하기 위해 노력하고 있습니다. 그래도 이 그룹은 Mac이 생각만큼 바이러스에 면역이 되지 않는다는 것을 확실히 증명합니다.