제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

중국 관련 배우, 강력한 간첩 활동에 Linux 백도어 활용

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 154

적어도 2021년부터 아시아, 라틴 아메리카 및 기타 지역의 정부 기관을 적극적으로 표적으로 삼고 있는 중국 관련 사이버 스파이 행위자인 "Earth Lusca"는 이전에 알려진 여러 악성 코드 도구에서 영감을 얻은 기능을 갖춘 Linux 백도어를 사용하기 시작했습니다.

연구원들이 발견한 악성코드 트렌드마이크로 발견 "SprySOCKS"로 추적되고 있는 이 바이러스는 먼저 코드가 유출되어 2017년에 공개된 Windows 원격 액세스 트로이 목마(RAT)인 "Trochilus"의 Linux 변종입니다.

Windows 백도어의 Linux 변종

트로칠루스는 다양한 기능, 여기에는 위협 행위자가 원격으로 파일을 설치 및 제거하고, 키 입력을 기록하고, 화면 캡처, 파일 관리 및 레지스트리 편집을 수행하도록 허용하는 것이 포함됩니다. 악성코드의 핵심 기능 중 하나는 측면 이동을 가능하게 하는 능력입니다. Trend Micro에 따르면 SprySOCKS의 기본 실행 루틴과 문자열은 이것이 Trochilus에서 유래했으며 Linux 시스템용으로 여러 기능을 다시 구현했음을 보여줍니다.

또한 SprySOCKS 대화형 셸의 Earth Lusca 구현은 Linux 버전의 SprySOCKS에서 영감을 얻었음을 나타냅니다. 데루스비는 지능형 지속적 위협 행위자가 2008년부터 사용해 온 지속적으로 진화하는 RAT 제품군입니다. 또한 SprySOCKS의 명령 및 제어(C2) 인프라는 다음과 같은 XNUMX단계 RAT와 관련된 위협 행위자가 사용하는 인프라와 유사합니다. 붉은잎 트렌드마이크로는 XNUMX년 넘게 사이버 스파이 활동에 사용해 왔다고 밝혔습니다.

다른 유사한 악성 코드와 마찬가지로 SprySOCKS는 시스템 정보 수집, 대화형 셸 시작, 네트워크 연결 나열, 파일 업로드 및 추출 등 다양한 기능을 통합합니다.

파악하기 어려운 위협 행위자

Earth Lusca는 트렌드마이크로가 2021년 중반부터 관찰한 다소 파악하기 어려운 위협 행위자로, 동남아시아와 최근에는 중앙 아시아, 발칸 반도, 라틴 아메리카 및 아프리카의 조직을 표적으로 삼고 있습니다. 증거에 따르면 해당 그룹은 다음 그룹의 일부입니다. 윈티, 중국의 경제적 목표를 대신하거나 지원하는 것으로 여겨지는 사이버 스파이 그룹의 느슨한 클러스터입니다.

Earth Lusca의 목표에는 정부 및 교육 기관, 민주화 및 인권 단체, 종교 단체, 미디어 조직, 코로나19 연구를 수행하는 조직이 포함되었습니다. 특히 외교, 통신, 기술과 관련된 정부 기관에 관심을 가져왔습니다. 동시에 Earth Lusca의 공격 대부분은 사이버 스파이와 관련된 것으로 보이지만 때때로 공격자는 암호화폐 및 도박 회사도 공격했으며 이는 금전적인 동기도 있음을 시사한다고 Trend Micro는 말했습니다.

많은 공격에서 위협 행위자는 스피어 피싱, 일반적인 사회 공학 사기, 워터링 홀 공격을 사용하여 대상 네트워크에 대한 기반을 확보하려고 시도했습니다. 올해 초부터 Earth Lusca 공격자들은 피해자 네트워크에 침투하기 위해 웹 기반 애플리케이션의 소위 "n-day" 취약점을 공격적으로 표적으로 삼았습니다. n-day 취약점은 공급업체가 이미 공개했지만 현재 사용할 수 있는 패치가 없는 결함입니다. 트렌드마이크로는 “최근 위협 행위자는 알려진 취약점을 악용해 피해자의 공개 서버를 표적으로 삼는 데 매우 공격적이었습니다.”라고 밝혔습니다.

올해 Earth Lusca가 악용하는 것으로 관찰된 많은 결함 중에는 다음과 같은 것들이 있습니다. CVE-2022-40684, Fortinet의 FortiOS 및 기타 기술의 인증 우회 취약점; CVE-2022-39952, Fortinet FortiNAC의 원격 코드 실행(RCE) 버그; 그리고 CVE-2019-18935, ASP.NET AJAX용 RCE 진행 중인 Telerik UI입니다. 다른 공격자들도 이러한 버그를 악용했습니다. 예를 들어 CVE-2022-40684는 중국의 지원을 받을 가능성이 있는 위협 행위자가 ''라는 이름의 광범위한 사이버 스파이 캠페인에 사용한 결함입니다.볼트 태풍,” 정부, 제조, 통신, 유틸리티 등 여러 핵심 부문의 조직을 대상으로 합니다.

Trend Micro는 보고서에서 “Earth Lusca는 서버 취약성을 이용하여 피해자의 네트워크에 침투한 후 웹 셸을 배포하고 측면 이동을 위해 Cobalt Strike를 설치할 것입니다.”라고 밝혔습니다. "이 그룹은 문서와 이메일 계정 자격 증명을 유출할 뿐만 아니라 ShadowPad 및 Winnti의 Linux 버전과 같은 고급 백도어를 추가로 배포하여 목표물에 대한 장기적인 스파이 활동을 수행할 계획입니다."

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.