Palo Alto Networks의 Unit 42에 따르면, TGR-STA-1030/UNC6619로 추적되는 아시아 기반의 국가 지원 해킹 그룹이 2024년 1월부터 최소 37개국의 정부 및 핵심 인프라 네트워크를 침해한 것으로 확인되었습니다. 이 그룹은 'Shadow Campaigns'라는 명칭으로 대규모 글로벌 작전을 전개했으며, 2023년 11월부터 12월 사이에는 155개국 정부 기관을 대상으로 정찰 활동도 수행했습니다. 주요 표적은 정부 부처, 법 집행기관, 국경 관리, 재무, 무역, 에너지, 광업, 이민, 외교 기관 등으로, 미주, 유럽, 아시아, 아프리카 등 다양한 지역의 선거, 무역, 지정학적 이슈와 관련된 기관들이 포함되었습니다.
공격 방식은 맞춤형 피싱 이메일과 Mega[.]nz에 저장된 악성 압축 파일 배포, Diaoyu 로더를 통한 Cobalt Strike 및 VShell 프레임워크 활용, 그리고 SAP Solution Manager, Microsoft Exchange Server, D-Link, Microsoft Windows 등 최소 15개의 알려진 취약점 악용이 확인되었습니다. 특히, 이 그룹은 Behinder, Godzilla, Neo-reGeorg 등 웹셸과 GOST, FRPS, IOX 등 네트워크 터널링 도구를 사용했으며, 자체 개발한 eBPF 기반 Linux 커널 루트킷 'ShadowGuard'를 통해 탐지 회피와 시스템 은폐 기능을 구현했습니다.
공격 인프라는 미국, 싱가포르, 영국의 VPS 제공업체와 릴레이 서버, 주거용 프록시, Tor 네트워크 등을 활용해 트래픽을 은폐했습니다. 또한, 표적 국가에 익숙한 도메인명을 사용해 공격의 정교함을 높였습니다. Unit 42는 TGR-STA-1030/UNC6619가 전략적, 경제적, 정치적 정보 수집을 우선시하는 고도화된 사이버 스파이 조직으로 평가하며, 보고서 말미에 침해 지표(IoC)를 공개해 방어자들이 탐지 및 차단에 활용할 수 있도록 했습니다.
요약
- 아시아 기반의 국가 지원 해킹 그룹이 37개국 정부 및 핵심 인프라를 침해하였다.
- 맞춤형 피싱, 취약점 악용, 고도화된 루트킷 등 다양한 공격 기법이 사용되었다.
- 주요 표적은 정부, 법 집행, 에너지, 무역 등 전략적 기관들이다.
- 공격 인프라는 글로벌 VPS, 프록시, Tor 등을 활용해 은폐되었다.
- Unit 42는 침해 지표를 공개하며 방어자들의 대응을 촉구하였다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.