중국 정부 지원 APT41 해킹 그룹이 안드로이드 기기를 노린 두 가지 새로운 스파이웨어, 'WyrmSpy'와 'DragonEgg'로 공격하고 있다고 Lookout 보안 연구원들이 발표했다. APT41은 지난 수년간 미국, 아시아, 유럽의 다양한 산업을 노린 가장 오래된 정부 해킹 그룹 중 하나로, 소프트웨어 개발, 하드웨어 제조, 싱크탱크, 통신사, 대학, 외국 정부 등을 대상으로 사이버 스피온지 작업을 수행하고 있습니다. 이 해킹 그룹은 다양한 이름으로 여러 사이버 보안 회사들에 추적되어 왔으며, 2012년부터 카스퍼스키가 그들의 악성 코드를 인식하고 활동을 모니터링해 왔습니다.

해킹 그룹은 보통 취약한 웹 앱과 인터넷에 노출된 엔드포인트를 통해 피해자의 네트워크를 침해하는데, Lookout는 이 그룹이 안드로이드 기기를 대상으로 WyrmSpy와 DragonEgg 스파이웨어로 공격한다고 밝혔습니다. WyrmSpy는 2017년 처음 발견되었고, DragonEgg는 2021년 초에 처음 발견되었습니다. 두 악성 코드는 모두 강력한 데이터 수집 및 유출 기능을 갖춰, 안드로이드 기기가 손상된 후 두 번째 페이로드를 배치합니다.

Lookout은 121.42.149[.]52 IP 주소 (vpn2.umisen[.]com 도메인으로 리졸브되며 악성 코드 소스 코드에 하드코딩 되어있다.)를 가진 명령 및 제어(C2) 서버를 발견함으로써 APT41과의 연관성을 밝혀냈습니다. 이 서버는 2014년 5월부터 2020년 8월까지 APT41의 공격 인프라의 일부로 사용되었습니다.

요약

- 중국 정부 지원 APT41 해킹 그룹이 안드로이드 기기를 대상으로 두 가지 스파이웨어, 'WyrmSpy'와 'DragonEgg'로 공격하는 것이 발견되었다.
- 이 해킹 그룹은 소프트웨어 개발, 하드웨어 제조, 싱크탱크, 통신사, 대학, 외국 정부 등을 대상으로 사이버 스피온지 작업을 진행하고 있다.
- 카스퍼스키 등의 사이버 보안 회사들이 APT41의 활동을 지속적으로 추적하고 있다.
- 안드로이드 기기가 손상된 후 두 악성 코드는 강력한 데이터 수집 및 유출 기능을 발휘한다.
- Lookout 보안 연구원들은 명령 및 제어 (C2) 서버를 발견함으로써 APT41과의 연관성을 확인했다.

Reference

https://www.bleepingcomputer.com/news/security/apt41-hackers-target-android-users-with-wyrmspy-dragonegg-spyware/

※ 이 글은 생성형 AI(Chatgpt-4)에 의해 요약되었습니다.