중국의 APT41 해킹 그룹이 구글 캘린더를 이용한 새로운 악성 소프트웨어 'ToughProgress'를 사용하여 명령 및 제어 작업을 수행하고 있습니다. 이 캠페인은 구글의 위협 정보 그룹에 의해 발견되었으며, 이 그룹은 공격자가 제어하는 구글 캘린더와 워크스페이스 인프라를 식별하고 해체하였습니다. 또한, 이러한 악용을 방지하기 위한 대책을 도입하였습니다. 구글 캘린더를 명령 및 제어 메커니즘으로 사용하는 것은 새로운 기술이 아니며, Veracode는 최근 Node Package Manager(NPM) 인덱스에서 유사한 전략을 따르는 악성 패키지에 대해 보고하였습니다.
공격은 악성 이메일을 통해 시작되며, 이 이메일은 이전에 침해된 정부 웹사이트에 호스팅된 ZIP 아카이브에 연결되어 있습니다. 이 아카이브에는 PDF 문서로 가장한 Windows LNK 파일, JPG 이미지 파일로 위장된 주요 페이로드, 그리고 페이로드를 복호화하고 실행하는 DLL 파일이 포함되어 있습니다. 이 DLL은 'PlusDrop'이라는 컴포넌트로, 다음 단계인 'PlusInject'를 메모리에서 완전히 실행합니다. 그 다음, PlusInject는 합법적인 Windows 프로세스 'svhost.exe'에 프로세스 할로잉을 수행하고 최종 단계인 'ToughProgress'를 주입합니다.
요약
- 중국의 APT41 해킹 그룹이 구글 캘린더를 이용한 새로운 악성 소프트웨어 'ToughProgress'를 사용하여 명령 및 제어 작업을 수행하고 있다.
- 이 캠페인은 구글의 위협 정보 그룹에 의해 발견되었으며, 이 그룹은 공격자가 제어하는 구글 캘린더와 워크스페이스 인프라를 식별하고 해체하였다.
- 공격은 악성 이메일을 통해 시작되며, 이 이메일은 이전에 침해된 정부 웹사이트에 호스팅된 ZIP 아카이브에 연결되어 있다.
- 이 아카이브에는 PDF 문서로 가장한 Windows LNK 파일, JPG 이미지 파일로 위장된 주요 페이로드, 그리고 페이로드를 복호화하고 실행하는 DLL 파일이 포함되어 있다.
- 이 DLL은 'PlusDrop'이라는 컴포넌트로, 다음 단계인 'PlusInject'를 메모리에서 완전히 실행한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.