Cisco Talos의 새로운 조사 결과에 따르면, 컴퓨팅과 관련 기술을 전문으로 하는 대만 정부 산하 연구 기관이 중국과 관련된 국가 차원의 위협 요인에 의해 침해를 받았습니다.
이름이 밝혀지지 않은 이 조직은 2023년 7월 중순부터 ShadowPad와 Cobalt Strike와 같은 다양한 백도어와 침해 후 도구를 제공하기 위해 표적이 되었습니다. APT41로 추적된 다작 해킹 그룹에 중간 정도의 확신을 가지고 기인했습니다.
보안 연구원인 Joey Chen, Ashley Shen, Vitor Ventura는 “현재 캠페인에 사용된 ShadowPad 맬웨어는 Microsoft Office IME 바이너리의 오래되고 취약한 버전을 로더로 악용해 페이로드를 실행하기 위한 맞춤형 2단계 로더를 로드했습니다.”라고 말했습니다.
“위협 요인은 타겟 환경에서 호스트 3개를 손상시키고 네트워크에서 일부 문서를 빼낼 수 있었습니다.”
Cisco Talos는 2023년 8월에 침해된 환경 내에서 PowerShell 스크립트를 다운로드하고 실행하기 위해 IP 주소에 연결된 “비정상적인 PowerShell 명령”을 감지한 후 이러한 활동을 발견했다고 밝혔습니다.
공격에 사용된 정확한 초기 액세스 벡터는 알려져 있지 않지만, 지속적인 액세스를 유지하고 ShadowPad 및 Cobalt Strike와 같은 추가 페이로드를 드롭하기 위해 웹 셸을 사용했으며, 후자는 CS-Avoid-Killing이라는 Go 기반 Cobalt Strike 로더를 통해 전달되었습니다.
연구원들은 “Cobalt Strike 맬웨어는 AV 감지를 우회하고 보안 제품 격리를 피하기 위해 안티 AV 로더를 사용하여 개발되었습니다.”라고 말했습니다.
또는 위협 행위자가 메모리에서 ShadowPad를 실행하고 손상된 명령 및 제어(C2) 서버에서 Cobalt Strike 맬웨어를 가져오는 스크립트를 실행하기 위해 PowerShell 명령을 실행하는 것이 관찰되었습니다. ScatterBee라고도 하는 DLL 기반 ShadowPad 로더는 DLL 사이드 로딩을 통해 실행됩니다.
침입의 일부로 수행된 다른 단계에는 Mimikatz를 사용하여 비밀번호를 추출하고 여러 명령을 실행하여 사용자 계정, 디렉토리 구조, 네트워크 구성에 대한 정보를 수집하는 것이 포함되었습니다.
Talos는 “APT41은 원격 코드 실행 취약성을 이용해 로컬 권한 상승을 달성하고 CVE-2018-0824에 대한 개념 증명을 메모리에 직접 주입하는 맞춤형 로더를 생성했습니다.”라고 말하며 최종 페이로드인 UnmarshalPwn이 세 가지 다른 단계를 거친 후 풀려난다고 언급했습니다.
사이버 보안 기관은 또한 시스템에서 다른 사용자를 감지하면 자체 활동을 중단하여 감지를 피하려는 적의 시도를 지적했습니다. 연구원들은 “백도어가 배포되면 악의적인 행위자는 초기 액세스를 허용한 웹 셸과 게스트 계정을 삭제할 것입니다.”라고 말했습니다.
독일은 이번 주 초에 중국 국가 행위자들이 2021년에 독일의 국가 지도 제작 기관인 연방지도측지청(BKG)을 간첩 목적으로 사이버 공격한 적이 있다고 밝힌 데 이어 이번 공격도 중국 국가 행위자들이 감행한 것이라고 밝혔습니다.
이러한 주장에 대해 베를린 주재 중국 대사관은 이러한 주장은 근거가 없으며 독일에 “사이버 보안 문제를 이용해 중국을 정치적으로나 언론에서 모함하는 관행을 중단하라”고 촉구했습니다.