Kaspersky 연구팀은 중국 주도의 사이버 스파이 그룹인 APT31이 산업 기관을 표적으로 새 악성 소프트웨어를 사용하여 격리된 시스템에서 데이터를 도난하는 것을 발견했습니다. 이 시스템이 공격받는다면 기업 네트워크나 인터넷과 물리적 또는 소프트웨어적으로 격리되어 독립적인 역할을 수행하는 중요한 시스템이 타격을 입을 수 있습니다. 이러한 공격은 지난해 4월부터 시작되었으며, 초기 단계에서는 공격 대상 시스템에 대한 원격 접근과 지속성을 확보하였습니다.

이어서, APT31 그룹은 두 번째 단계에서 USB 전파를 통해 격리된 시스템에서 데이터를 도난할 수 있는 특수화된 악성 코드를 더 드롭하였습니다. 마지막 단계에서는 생성된 데이터를 그들의 명령 및 제어 서버에 업로드할 수 있는 임플란트를 사용했습니다. 또한, 이 악성 소프트웨어는 네 가지 모듈로 구성되어 시스템에 연결된 이동식 드라이브를 프로파일링하고 파일과 스크린샷을 수집하여 추가 페이로드를 감염된 장치에 전송하는 역할을 수행합니다.

Kaspersky는 이러한 공격이 조용하게 이루어지면서 DLL 주문 하이잭을 사용하여 악성 페이로드를 메모리에 로드하고 별도의 이진 데이터 파일에 암호화된 페이로드를 숨겼다고 밝혔습니다. 이 회사는 추가로 악성 코드 해시, 포괄적인 위험 징후, 악성 소프트웨어의 활동 세부 정보 등을 포함한 기술 보고서를 제공하고 있습니다.

요약

- Kaspersky 연구팀은 중국 사이버 스파이 그룹인 APT31의 새로운 악성 소프트웨어를 발견하였으며, 이는 격리된 시스템에서 데이터를 도난하는 기능을 가지고 있다.
- 이러한 공격은 지난해 4월에 시작되었으며, 각 단계에서 다양한 특수화된 악성 코드를 사용하여 데이터를 도난하고 그들의 서버에 업로드하였다.
- 이 악성 소프트웨어는 네 가지 모듈로 구성되어 있다. 감염된 시스템에서 파일 및 스크린샷을 수집하여 추가 페이로드를 전송한다.
- Kaspersky에 따르면 이러한 공격은 조용히 이루어졌으며, DLL 주문 하이잭을 사용하여 악성 페이로드를 메모리에 로드하고 숨겼다.
- 이해를 돕기 위해 Kaspersky는 보고서 내에서 악성 코드의 해시 값, 위협 지표, 악성 코드 활동에 대한 세부 정보를 제공하고 있다.

Reference

https://www.bleepingcomputer.com/news/security/hackers-use-new-malware-to-breach-air-gapped-devices-in-eastern-europe/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.