일본 조직은 LODEINFO와 NOOPDOOR와 같은 맬웨어 계열을 활용하여 손상된 호스트에서 민감한 정보를 수집하는 중국 국가급 위협 행위자의 표적이 되고 있으며, 어떤 경우에는 2~3년 동안 은밀하게 레이더에 잡히지 않기도 합니다.
이스라엘 사이버 보안 회사 Cybereason은 이 캠페인을 다음과 같은 이름으로 추적하고 있습니다. 뻐꾸기 창APT10이라는 알려진 침입 세트와 관련이 있다고 하며, Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon(이전 명칭 Potassium), Stone Panda라고도 합니다.
“NOOPDOOR의 배후에 있는 행위자들은 캠페인 중에 LODEINFO를 활용했을 뿐만 아니라, 새로운 백도어를 활용하여 손상된 기업 네트워크에서 데이터를 빼냈습니다.”라고 밝혔습니다.
JPCERT/CC가 일본 기업을 표적으로 삼아 두 가지 맬웨어 종류를 사용하여 사이버 공격을 감행하고 있다는 경고를 한 지 몇 주 후에 이 같은 결과가 나왔습니다.
올해 1월 초, ITOCHU Cyber & Intelligence는 분석 차단 기술을 통합한 LODEINFO 백도어의 업데이트된 버전을 발견했으며, 스피어 피싱 이메일을 사용하여 맬웨어를 확산했다는 사실을 밝혔습니다.
원래 위협 행위자를 설명하기 위해 MenuPass라는 용어를 만들어낸 Trend Micro는 APT10을 Earth Tengshe와 Earth Kasha라고 부르는 두 개의 클러스터로 구성된 포괄적인 그룹으로 특징지었습니다. 해킹단은 적어도 2006년부터 운영되고 있는 것으로 알려져 있습니다.
Earth Tengshe는 SigLoader와 SodaMaster를 배포하는 캠페인과 관련이 있는 반면, Earth Kasha는 LODEINFO와 NOOPDOOR를 독점적으로 사용하는 것으로 알려져 있습니다. 두 하위 그룹 모두 네트워크에서 데이터와 정보를 빼내려는 목적으로 대중에게 공개되는 애플리케이션을 표적으로 삼는 것으로 관찰되었습니다.
Earth Tengshe는 Bronze Starlight(일명 Emperor Dragonfly 또는 Storm-0401)라는 코드명의 또 다른 클러스터와 관련이 있는 것으로 알려져 있습니다. 이 클러스터는 LockFile, Atom Silo, Rook, Night Sky, Pandora, Cheerscrypt와 같은 단명한 랜섬웨어 계열을 운영한 전력이 있습니다.
반면, Earth Kasha는 2023년 4월부터 대중에게 공개된 애플리케이션을 악용하여 초기 접근 방법을 바꾸고, Array AG(CVE-2023-28461), Fortinet(CVE-2023-27997), Proself(CVE-2023-45727) 인스턴스의 패치되지 않은 결함을 악용하여 LODEINFO 및 NOOPDOOR(일명 HiddenFace)를 배포한 것으로 밝혀졌습니다.
LODEINFO에는 임의의 셸코드를 실행하고, 키 입력을 기록하고, 스크린샷을 찍고, 프로세스를 종료하고, 파일을 액터가 제어하는 서버로 다시 빼내는 여러 명령이 들어 있습니다. ANEL Loader라고 알려진 또 다른 APT10 백도어와 코드 유사성을 공유하는 NOOPDOOR는 파일을 업로드 및 다운로드하고, 셸코드를 실행하고, 더 많은 프로그램을 실행하는 기능을 제공합니다.
Cybereason은 “LODEINFO는 주요 백도어로 사용되고 NOOPDOOR는 보조 백도어로 작동하여 손상된 기업 네트워크 내에서 2년 이상 지속성을 유지합니다.”라고 말했습니다. “위협 행위자는 예약된 작업을 남용하여 환경 내에서 지속성을 유지합니다.”