제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

중국 APT '어스 크라항(Earth Krahang)', 48개 대륙 5개 정부 조직 손상

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 138

이전에 확인되지 않은 중국 스파이 그룹이 표준적인 전술, 기술 및 절차(TTP)를 사용했음에도 불구하고 정부 공간의 70개 조직을 포함하여 23개국에서 최소 48개 조직을 침해했습니다.

'어스 크라항'은 고급 군용 APT는 아닌 것으로 보인다. ~ 안에 새로운 보고서, Trend Micro의 연구원들은 이것이 하나의 날개일 수 있다고 제안했습니다. 개인 해킹 해킹 기업 iSoon 중국 공산당(CCP)과 계약을 맺었습니다. 그리고 이러한 사이버 범죄 작전에 적합하도록 극도로 정교한 맬웨어와 은밀한 전술을 사용하는 대신 대규모 오픈 소스와 잘 문서화된 도구, 1일 취약점 및 표준 사회 공학을 사용하여 표적을 물리칩니다.

그럼에도 불구하고 피해자 목록은 다음과 같은 목록과 비슷합니다. 볼트 타이푼, 블랙테크머스탱 팬더.

116개국 35개 이상의 조직을 표적으로 삼은 이 그룹은 다양한 세계 정부와 관련된 70개 조직을 포함하여 최소 11개 이상의 조직을 확인했습니다. 한 경우에는 XNUMX개 정부 부처와 연결된 광범위한 조직을 침해하는 데 성공했습니다. 피해자는 교육, 통신 분야, 금융, IT, 스포츠 등 다양한 분야에 걸쳐 있습니다. 피해자의 가장 높은 농도는 아시아에서 발생하지만 사례는 미주(멕시코, 브라질, 파라과이), 유럽(영국, 헝가리) 및 아프리카(이집트, 남아프리카)에도 적용됩니다.

Critical Start의 사이버 위협 연구 수석 관리자인 Callie Guenther는 "오픈 소스 도구를 사용하여 정부 기관을 손상시키는 것은 주목할 만한 일이지만 완전히 놀라운 것은 아닙니다."라고 말합니다. "정부는 방대하고 복잡한 IT 인프라를 보유하고 있는 경우가 많으며, 이로 인해 보안 관행의 불일치가 발생하고 기본적인 오픈 소스 도구를 사용하는 공격을 포함한 모든 유형의 공격으로부터 방어하기가 어려워집니다."

어스 크라항의 침입 전술

일부 성공적인 중국 APT는 다음과 같은 특징으로 구별됩니다. 독특한 제로데이 or 그들이 해내는 복잡한 전술 다른 사람보다 낫습니다.

Earth Krahang은 다재다능한 곳입니다.

첫 번째 조치는 웹에서 정부 기관에 연결된 서버 등 공개 대상 서버를 검색하는 것입니다. 활용할 수 있는 취약점을 확인하기 위해 sqlmap, nuclei, xray, vscan, pocsuite 및 wordpressscan을 포함한 다양한 오픈 소스 기성 도구 중 하나를 사용합니다. 특히 Earth Krahang이 즐겨 공격하는 두 가지 버그는 CVE-2023-32315(CVSS 평가 7.5 등급 실시간 공동 작업 서버 Openfire의 명령 실행 버그)와 CVE-2022-21587(등급 9.8 등급의 중요한 명령 실행 문제)입니다. Oracle E-Business Suite의 Web Application Desktop Integrator를 사용합니다.

공개 서버에 발판을 마련한 후 그룹은 더 많은 오픈 소스 소프트웨어를 사용하여 중요한 파일, 비밀번호(특히 이메일의 경우) 및 유지 관리되지 않는 추가 서버를 가리킬 수 있는 외로운 하위 도메인과 같은 기타 유용한 리소스를 검색합니다. 또한 다양한 무차별 대입 공격을 사용합니다. 예를 들어 웹용 Outlook을 통해 Microsoft Exchange 서버를 크랙하기 위해 일반적인 비밀번호 목록을 사용합니다.

Trend Micro의 위협 인텔리전스 담당 부사장인 Jon Clay는 “오픈 소스는 탐지하기 쉬워야 하는 것처럼 보이지만 실제로는 발견하고 탐지해야 하는 TTP가 많이 있습니다. 또한, 이 적의 방어 회피 전술을 활용하면 피해자가 방어할 수 없도록 보장할 수 있습니다.”

어스 크라항(Earth Krahang)의 착취와 은밀한 전술

이 모든 것(그리고 훨씬 더 많은 것)이 끝나면 공격자는 손상된 서버에 백도어를 설치하고 이메일 계정을 하이재킹하는 두 가지 주요 작업을 수행할 수 있습니다.

후자는 특히 유용합니다. "공격을 지원하기 위해 합법적인 시스템과 이메일 계정을 사용하는 것은 여기서 특히 흥미롭습니다. 왜냐하면 이 공격자는 합법적인 계정을 사용하여 피해자가 안전하다고 생각하도록 속이기 때문입니다."라고 Clay는 설명합니다. 이 그룹은 중요한 연락처 목록과 선의의 계정을 사용하여 얻은 합법성을 이용해 "말레이시아 국방부 회보"와 같이 청구서에 맞는 제목 줄과 악성 URL 또는 첨부 파일 및 파일 이름이 포함된 이메일을 보냅니다. 같은 내용입니다. 예를 들어 "파라과이 외무부 장관의 Turkmenistan.exe 방문에 대해"입니다.

이메일을 통해서든 웹 서버의 취약점을 통해서든 Earth Krahang의 다양한 표적은 결국 하나 이상의 백도어를 다운로드하게 됩니다.

2022년경 최초의 공격에서 이 그룹은 AES 암호화된 명령 및 제어(C2) 통신을 통해 정보 수집, 파일 삭제, 시스템 명령 실행을 위한 다소 간단한 맞춤형 .NET 도구인 "RESHELL"을 사용했습니다.

2023년에 그룹은 키로깅, 스크린샷 찍기, 클립보드에서 훔치기 등의 추가 기능을 갖춘 'XDealer'로 이전했습니다. XDealer는 Windows 및 Linux와 모두 호환된다는 점 외에도 일부 로더에 유효한 코드 서명 인증서가 포함되어 있다는 점도 주목할 만합니다. 트렌드마이크로는 이러한 인증서(하나는 합법적인 인사 회사에 속하고 다른 하나는 게임 개발 회사에 속함)가 새로운 시스템에 악성 코드를 다운로드할 때 추가 보호 계층을 제공하기 위해 도난당했을 가능성이 있다고 추측합니다.

Earth Krahang은 또한 다음을 활용했습니다. PlugX와 같은 고대 위협섀도우패드, 사이버 보안 분석가가 C2 인프라를 고정하는 것을 방지하는 다른 오픈 소스 도구(RedGuard)와 함께 Cobalt Strike를 자주 배포합니다.

위협 행위자는 상대적으로 직설적이기 때문에 Guenther는 “이러한 TTP로부터 보호하려면 표준 모범 사례를 권장합니다. 조직은 스피어 피싱을 방어하기 위해 이메일 보안을 강화하고, 알려진 취약점으로부터 보호하기 위해 시스템을 정기적으로 업데이트 및 패치하며, 네트워크 분할을 사용하여 네트워크 내에서 공격자의 확산을 제한해야 합니다. 비정상적인 네트워크 트래픽과 비정상적인 액세스 패턴을 모니터링하는 것도 이러한 캠페인을 조기에 감지하는 데 도움이 될 수 있습니다.”

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.