미국 보스톤에 위치한 보안업체 사이버리즌(Cybereason)의 연구원들이 중국정부가 후원하는 것으로 알려진 글로벌 통신업체를 대상으로 한 지난 2년간의 공격에 대해 발표했다. 물론 해당 공격이 APT 10 이라는 공격그룹으로 위장한 것 일수도 있겠지만 다양한 지표들이 중국정부를 가리키고 있으며 공격그룹이 사용한 도구와 기술은 Call Detail Records (CDRs)을 획득하기 위한 APT10과 상당히 관련되었다고 주장하고 있다. “오퍼레이션 소프트 셀”(Operation Soft Cell)이라고 명명한 이 공격은 2017년 부터 다양한 글로벌 통신업체를 대상으로 진행되고 있으며 특히 중국과 밀접한 관련이 있는 인물들에 대한 정보를 집중적으로 수집해왔다.

공격은 공개된 서버의 웹쉘로부터 시작하여 데이터베이스, 빌링, AD 서버와 같은 중요 자산을 손상하려고 시도했으며 공격자의 행동이 탐지됨에 따라 공격을 중단했다 재개하는 활동들을 수 차례 확인되었다.

공격에 사용된 도구로는 IIS 서버에서 초기에 발견된 China Chopper 웹쉘, 수정 된 Nbtscan 도구, 자격증명 탈취를 위한 수정된 mimikatz, WMI와 PsExec와 같은 파일리스 기술을 이용한 lateral movement, PoisonIvy RAT 등이 확인되었다.

[참고자료]
https://www.infosecurity-magazine.com/news/china-blamed-for-apt-attacks-on-1-1/

SOC MIR Team