“중국 정부의 ‘코로나19’ 정보 탈취 위한 APT 발견”
상태바
“중국 정부의 ‘코로나19’ 정보 탈취 위한 APT 발견”
  • 김선애 기자
  • 승인 2020.04.23 10:06
  • 댓글 0
이 기사를 공유합니다

파이어아이 “베트남 배후 APT32 그룹 소행으로 추정”
우한시·중국 비상관리부에 정보 탈취 위한 스피어피싱 발송

[데이터넷] 전 세계가 코로나19로 인해 큰 고통을 당하고 있는 가운데 중국 우한 정부와 중국 비상관리부(Chinese Ministry of Emergency Management)를 타깃으로 한 APT 공격이 발견됐다. 베트남 정부가 후원하는 것으로 의심되는 APT32가 코로나19 관련 정보를 수집하기 위해 진행한 것으로 보인다.

존 헐트퀴스트(John Hultquist) 파이어아이 맨디언트 위협 인텔리전스 수석분석가가 자사 보안 블로그에 게시한 분석 보고서에 따르면 이번에 발견된 공격은 우한시와 중국 비상관리부로 스피어피싱 이메일을 보내면서 시작된 것으로 추측된다.

중국비상관리부는 1월 초 ‘사무기기 입찰 1분기 실적 보고’라는 제목의 악성메일을 수신했다. 이메일에 심은 트래킹 링크에 피해자 이메일 주소와 이메일이 열람됐을 때 때 공격자에게 알려주는 코드가 포함돼 있었으며, 우한 정부를 대상으로 한 추가 추적 URL과 이메일 주소 또한 중국 비상관리부와 관련돼 있었다.

메일에 포함된 링크 클릭하면 페이로드가 실행되며, ‘COVID-19 실시간 업데이트: 중국은 현재 후베이성에서 오는 모든 여행자를 추적하고 있다’는 제목의 뉴욕타임즈 기사 사본을 포함하고 있는 악성문서가 다운된다.

▲악성메일의 링크를 클릭하면 코로나 바이러스 관련 뉴욕타임즈 기사를 게재한 악성문서가 보여진다.
▲악성메일의 링크를 클릭하면 코로나 바이러스 관련 뉴욕타임즈 기사를 게재한 악성문서가 보여진다.

공격자들이 사용하는 악성코드는 APT32 공격그룹이 동남아시아 국가를 대상으로 한 피싱 캠페인과 유사하다. 이들은 2013년부터 활동한 것으로 추정되며, 베트남에 진출해 사업을 하고 있거나 투자 예정인 외국계 기업이나 동남아시아·전 세계 공공기관 등을 목표로 한다. 사회공학기법으로 피해자가 매크로를 사용하도록 유도하며, 매크로가 실행되면 원격 서버에서 여러 악성페이로드가 다운된다.

존 헐트퀴스트는 “코로나19로 인해 정부에 대한 우려의 목소리가 커지고 있으며, 현재 만연한 불신이 불확실성을 증폭시키고, 공격자의 무자비한 정보 수집 행위를 초래하고 있다. 국가, 주, 시, 지방 정부, 비정부 기구, 국제기구 등은 물론 의료 연구 기관마저 표적이 되고 있다. 이번 위기가 끝날 때까지 관련 사이버 첩보 활동이 전 세계적으로 계속 심화 될 것으로 예상한다”고 전했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.