중국에 본사를 둔 대만의 조직과 미국의 비정부 기구(NGO)가 베이징과 연계된 국가 지원 해킹 그룹인 ‘사이버 킬러(Syber Killer)’의 표적이 되었습니다. 대거플라이 업그레이드된 악성 소프트웨어 도구 세트를 사용합니다.
이 캠페인은 이 그룹이 “또한 내부 스파이 활동에 관여하고 있다”는 신호라고 Broadcom의 일부인 Symantec의 Threat Hunter Team이 오늘 발표한 새로운 보고서에서 밝혔습니다. “이 조직에 대한 공격에서 공격자는 Apache HTTP 서버의 취약점을 악용하여 MgBot 맬웨어를 전달했습니다.”
Daggerfly는 Bronze Highland와 Evasive Panda라는 이름으로도 알려져 있으며, 이전에 아프리카의 통신 서비스 제공자를 겨냥한 정보 수집 임무와 관련하여 MgBot 모듈식 맬웨어 프레임워크를 사용하는 것으로 관찰되었습니다. 2012년부터 운영되고 있는 것으로 알려져 있습니다.
“Daggerfly는 최소한의 방해로 스파이 활동을 계속하기 위해 툴셋을 빠르게 업데이트하여 노출에 대응할 수 있는 것으로 보입니다.”라고 회사 측은 밝혔습니다.
최근의 공격은 MgBot 기반의 새로운 맬웨어 계열과 MACMA라는 알려진 Apple macOS 맬웨어의 개량된 버전을 사용하는 것이 특징입니다. MACMA는 2021년 11월 Google의 위협 분석 그룹(TAG)이 Safari 브라우저의 보안 결함을 악용하여 홍콩 인터넷 사용자를 표적으로 삼아 워터링 홀 공격을 통해 배포된 것으로 처음 발견되었습니다.
이번 사건은 민감한 정보를 수집하고 임의의 명령을 실행할 수 있는 악성 코드가 특정 해킹 그룹과 명확히 연관된 첫 사례입니다.
“macOS.MACMA의 배후에 있는 행위자들은 최소한 ELF/Android 개발자의 코드를 재사용했으며, 맬웨어를 통해 Android 휴대전화를 표적으로 삼았을 가능성도 있습니다.” SentinelOne은 당시 후속 분석에서 이렇게 언급했습니다.
MACMA와 Daggerly의 연결은 맬웨어와 Mgbot의 소스 코드가 겹치는 부분과 MgBot 드로퍼에서도 사용된 명령 및 제어(C2) 서버(103.243.212(.)98)에 연결된다는 사실에서 비롯됩니다.
무기고에 있는 또 다른 새로운 맬웨어는 Nightdoor(일명 NetMM 및 Suzafk)로, C2를 위한 Google Drive API를 사용하는 임플란트이며 적어도 2023년 9월부터 티베트 사용자를 겨냥한 워터링 홀 공격에 사용되었습니다. 이 활동의 세부 사항은 ESET에서 올해 3월 초에 처음 문서화했습니다.
Symantec은 “이 그룹은 대부분의 주요 운영 체제 플랫폼을 타겟으로 하는 도구 버전을 만들 수 있다”며 “Android APK, SMS 가로채기 도구, DNS 요청 가로채기 도구, 심지어 Solaris OS를 타겟으로 하는 맬웨어 패밀리를 트로이 목마화할 수 있는 능력의 증거를 확인했다”고 덧붙였다.
중국 국가 컴퓨터 바이러스 비상 대응 센터(CVERC)는 5개국이 중국 연계 간첩 집단으로 분류한 볼트 타이푼을 미 정보 기관이 만들어낸 허위 정보 캠페인이라고 주장하며 이를 허위 정보 유포 캠페인이라고 설명했습니다.
CVERC는 최근 보고서에서 “주요 표적은 미국 의회와 미국 국민이지만 중국을 비방하고, 중국과 다른 국가 간에 불화를 조장하고, 중국의 발전을 방해하고, 중국 기업을 약탈하려고도 한다”고 주장했습니다.