미국 라스베가스에서 열리는 BHUSA 2019 에 참가중인 글로벌 보안기업 FireEye의 Threat Intelligence 그룹에서 중국의 국가 지원 해킹그룹에 관한 프로파일링 상세 리포트를 공개하였다.  FireEye에서 명명한 해킹그룹의 명칭은 APT41로, 대한민국을 비롯한 아시아, 유럽, 아프리카 등의 15개국을 대상으로 공격을 수행해 온 것으로 보고서는 언급하고 있다.

이들이 주로 공격 타겟으로 삼은 기업의 산업군은 여행사, 교육, 암호화폐 등 여러 산업군에 걸쳐서 존재하며 이번 리포트에서 주로 확인된 산업군은 헬스케어와 게임업계이다.

[그림 1] APT41 그룹의 연도별 공격 타겟 (출처: FireEye RPT-APT-41)

APT41그룹의 공격활동 중 헬스케어 산업군에 대한 공격은 Made In China 2025를 지원하기 위하여 수행되었다. APT41그룹은 국외의 연구개발 기간이 긴 헬스케어 제품의 출시 직전에 공격을 수행하여 정보를 탈취하였으며 해당 정보는 중국 내의 헬스케어 제품의 연구개발을 지원하는데 사용되었다. 이들은 2014년 7월부터 2016년 5월까지 대형 헬스케어 기업의 의료장비 제조, HR정보, 과세정보, 인수합병 정보를 포함한 민감정보들을 대상으로 한 공격을 수행하였다. 뿐만아니라 생명공학 회사의 개발중인 의약품의 임상실험정보, 학술정보 및 연구개발 펀딩과 관련한 정보들도 탈취하였으며, 2018년에도 헬스케어 산업군을 대상으로 한 APT41 그룹의 공격활동이 포착되었다. 하지만 이들이 공격 목적을 달성했는지 여부에 관해서는 명확하지 않다.

또한 APT41그룹은 게임업계에 대해서도 다양한 공격을 수행하였으며, 헬스케어 산업군에 대한 공격과는 달리 주로 금전적인 목적을 위하여 공격을 수행하였다. APT41그룹은 2012년부터 주로 온라인 게임사의 개발 환경을 탈취하여 게임 플레이어들의 네트워크, 사내의 데이터베이스에 지속적으로 접근하였다. 이를 통해 사용자의 크리덴셜 정보를 탈취하거나 게임상의 가상화폐를 탈취하여 지하 경제를 통해 금전을 획득 또는 세탁하는 등의 행위를 수행하였다. 그리고 극히 드물게 해당 게임을 통하여 게임 내 가상화폐 등의 금전적 이득을 보기 어렵다고 판단되는 경우 RaaS 기반의 랜섬웨어를 유포하는 케이스도 확인되었다.  APT41 그룹은 주로 공급망 공격을 통하여 획득한 코드 서명된 인증서를 이용하여 정상적인 게임 파일에 악성코드를 삽입하여 배포하는 방식으로 공격을 수행하였으며, 공격 대상은 국제적으로 유명한 AOS게임, 국내의 FPS 게임과 유명 축구 게임등 다양한 국가의 유명 게임사들의 정상 게임파일을 변조한 악성코드를 유포해 왔다.

[그림 2] APT41그룹의 Attack Lifecycle (출처: FireEye RPT-APT-41)

FireEye에서 공개한 정식 리포트에서는 공격의 Lifecycle 단계별 주로 사용된 도구에 대한 상세 설명과 IOC 정보가 제공되고 있으므로 해당 리포트를 참고하면 도움이 될 것으로 판단된다.

[참고]

https://content.fireeye.com/apt-41/rpt-apt41

보안관제센터 MIR Team