오래 전부터 활동해온 APT10, 이젠 MMS까지 등에 업어 ‘최대 위협’
중국 경제 성장의 원동력은 해킹?...특허 많이 내는 조직일수록 중국 해킹 경계해야
[보안뉴스 문가용 기자] 중국의 사이버 공격 단체인 APT10이 미국과 유럽 기업들의 지적재산을 노리는 활동을 벌였다고 보안 업체 레코디드 퓨처(Recorded Future)가 공개했다.
[이미지 = iclickart]
공격은 2017년 11월부터 2018년 9월까지 진행됐고, 최소 3개의 회사가 당했다고 한다. 하나는 노르웨이의 IT 및 사업 관리 서비스 제공 업체, 다른 하나는 국제적인 유명 의류 업체, 또 다른 하나는 미국의 로펌인 것으로 나타났다.
APT10은 원격 접근 소프트웨어인 시트릭스(Citrix) 및 로그미인(LogMeIn)과 훔친 사용자 크리덴셜을 가지고 표적으로 삼은 기업의 네트워크에 접근했다. 그런 후에는 DLL 사이드로딩(DLL Sideloading)이라는 기술을 사용해 권한을 상승시켰다. 이 DLL 사이드로딩은 이전부터 APT10이 자주 사용해오던 기법이다.
이 공격에 활용되던 멀웨어는 트로킬루스(Trochilus), 어퍼컷(UPPERCUT) 백도어, 미미캐츠(Mimikatz)다. 이중 미미캐츠는 여러 사이버 공격에서 크리덴셜 수집용으로 활용되는 것이지만, 트로킬루스와 어퍼컷은 APT10과 관련이 있는 것으로 여겨져 왔다.
노르웨이의 IT 기업과 국제적인 의류 업체를 겨냥한 공격에서는 데이터가 드롭박스 계정 하나로 전송됐다. 미국의 로펌에 대한 공격에서도 드롭박스가 사용되었는데, 이 경우 클라이언트 URL(Client URL, cURL)이라는 소프트웨어도 함께 쓰였다.
레코디드 퓨처는 “현재 중국 정부가 지원하는 사이버 위협 단체들 중 전 세계 기업들에 가장 큰 위협이 되는 건 APT10”이라고 말한다. 공격의 규모나 표적의 중요도라는 측면에서도 그렇지만, 이제는 중국의 첩보 기관인 MSS까지도 이런 작전들에 참여하고 있기 때문이다.
APT10은 2009년부터 발견된 공격 단체로 메뉴패스(menuPass), 스톤 판다(Stone Panda), CVNX라는 이름으로도 불린다. 주로 일본의 조직들을 공격했으나 2017년부터는 공격 범위를 확장시켰다. 당시 미국의 유명 무역 협회의 웹사이트를 공격함으로써 이러한 변화의 신호탄을 쐈었다.
작년 12월 미국, 영국, 캐나다, 호주, 뉴질랜드, 일본은 공식적으로 성명을 내 APT10의 사이버 공격 행위를 규탄했다. 미국은 APT10의 일원으로 여겨지는 해커 두 명을 기소하기도 했다.
2017년 4월, PwC UK와 BAE 시스템즈(BAE Systems)는 클라우드 호퍼(Cloud Hopper)라는 사이버 작전에 대한 보고서를 발표한 바 있다. APT10이 IT 서비스 제공업체들을 표적으로 삼아 대단위 공격을 펼쳤다는 내용이었다. 당시 보안 전문가들은 APT10이 IT 업체들을 노렸다기보다 그런 IT 업체들과 파트너십을 맺고 서비스를 받는 고객 기업들을 노린 공격이라고 분석했다.
이번 공격을 당한 것으로 보이는 노르웨이 IT 업체도 비슷한 이유가 작용한 것으로 보인다고 레코디드 퓨처는 말한다. 그러나 의류 회사나 로펌의 경우 경제적인 이유나 시장 내 유리한 고지 선점을 위해 각종 정보를 훔쳐냈을 가능성이 높다.
트로킬루스 멀웨어는 C&C와의 통신을 암호화 하는 것으로 나타났다. 이 때 사용된 건 RC4와 살사20(Salsa20)이라는 스트림 사이퍼였다. 이는 좀 특이한 점으로, APT10은 이전 공격들에서 오로지 RC4만을 사용했었다.
이 사건들을 조사한 또 다른 보안 업체 라피드7(Rapid7)에 의하면 미국의 로펌에 대한 공격이 가장 먼저 벌어졌다고 한다. 그 다음이 의류 회사였고 마지막이 노르웨이의 IT 서비스 업체였다고 라피드7은 보고 있다. “이 모든 공격에서 시트릭스라는 원격 데스크톱 솔루션이 사용되었으며, DLL 사이드로딩 기술이 목격되었습니다.”
레코디드 퓨처는 “중국은 경제적 성장을 위해 온갖 수단을 다 동원하고 있으며, 그것은 과거부터 지금까지 계속되어 온 것”이라고 강조했다. “그런 과정에서 가장 많은 피해를 입는 건 서양 국가들의 기업들입니다. 이로 인해 국제 무역과 상호거래의 규범이 흔들리고 있으며, 불공정한 경쟁이 발생하고 있습니다. 특허를 많이 내는 것이 강점인 기업들이라면 특히 중국 해커들에 주의를 기울이고 경계해야 합니다.”
3줄 요약
1. 중국의 해커 그룹 APT10, 사이버 공간 누비며 지적재산 탈취에 몰두.
2. 경제 발전을 해킹으로 하려는 중국, 국제 경제의 규범 흐트러트리고 있음.
3. 지적재산 많이 보유한 기업들은 특히 중국 해커들을 조심해야 함. 특허 기술 마련만큼 소중해진 보안.
[국제부 문가용 기자(globoan@boannews.com)]
중국 경제 성장의 원동력은 해킹?...특허 많이 내는 조직일수록 중국 해킹 경계해야
[보안뉴스 문가용 기자] 중국의 사이버 공격 단체인 APT10이 미국과 유럽 기업들의 지적재산을 노리는 활동을 벌였다고 보안 업체 레코디드 퓨처(Recorded Future)가 공개했다.
[이미지 = iclickart]
공격은 2017년 11월부터 2018년 9월까지 진행됐고, 최소 3개의 회사가 당했다고 한다. 하나는 노르웨이의 IT 및 사업 관리 서비스 제공 업체, 다른 하나는 국제적인 유명 의류 업체, 또 다른 하나는 미국의 로펌인 것으로 나타났다.
APT10은 원격 접근 소프트웨어인 시트릭스(Citrix) 및 로그미인(LogMeIn)과 훔친 사용자 크리덴셜을 가지고 표적으로 삼은 기업의 네트워크에 접근했다. 그런 후에는 DLL 사이드로딩(DLL Sideloading)이라는 기술을 사용해 권한을 상승시켰다. 이 DLL 사이드로딩은 이전부터 APT10이 자주 사용해오던 기법이다.
이 공격에 활용되던 멀웨어는 트로킬루스(Trochilus), 어퍼컷(UPPERCUT) 백도어, 미미캐츠(Mimikatz)다. 이중 미미캐츠는 여러 사이버 공격에서 크리덴셜 수집용으로 활용되는 것이지만, 트로킬루스와 어퍼컷은 APT10과 관련이 있는 것으로 여겨져 왔다.
노르웨이의 IT 기업과 국제적인 의류 업체를 겨냥한 공격에서는 데이터가 드롭박스 계정 하나로 전송됐다. 미국의 로펌에 대한 공격에서도 드롭박스가 사용되었는데, 이 경우 클라이언트 URL(Client URL, cURL)이라는 소프트웨어도 함께 쓰였다.
레코디드 퓨처는 “현재 중국 정부가 지원하는 사이버 위협 단체들 중 전 세계 기업들에 가장 큰 위협이 되는 건 APT10”이라고 말한다. 공격의 규모나 표적의 중요도라는 측면에서도 그렇지만, 이제는 중국의 첩보 기관인 MSS까지도 이런 작전들에 참여하고 있기 때문이다.
APT10은 2009년부터 발견된 공격 단체로 메뉴패스(menuPass), 스톤 판다(Stone Panda), CVNX라는 이름으로도 불린다. 주로 일본의 조직들을 공격했으나 2017년부터는 공격 범위를 확장시켰다. 당시 미국의 유명 무역 협회의 웹사이트를 공격함으로써 이러한 변화의 신호탄을 쐈었다.
작년 12월 미국, 영국, 캐나다, 호주, 뉴질랜드, 일본은 공식적으로 성명을 내 APT10의 사이버 공격 행위를 규탄했다. 미국은 APT10의 일원으로 여겨지는 해커 두 명을 기소하기도 했다.
2017년 4월, PwC UK와 BAE 시스템즈(BAE Systems)는 클라우드 호퍼(Cloud Hopper)라는 사이버 작전에 대한 보고서를 발표한 바 있다. APT10이 IT 서비스 제공업체들을 표적으로 삼아 대단위 공격을 펼쳤다는 내용이었다. 당시 보안 전문가들은 APT10이 IT 업체들을 노렸다기보다 그런 IT 업체들과 파트너십을 맺고 서비스를 받는 고객 기업들을 노린 공격이라고 분석했다.
이번 공격을 당한 것으로 보이는 노르웨이 IT 업체도 비슷한 이유가 작용한 것으로 보인다고 레코디드 퓨처는 말한다. 그러나 의류 회사나 로펌의 경우 경제적인 이유나 시장 내 유리한 고지 선점을 위해 각종 정보를 훔쳐냈을 가능성이 높다.
트로킬루스 멀웨어는 C&C와의 통신을 암호화 하는 것으로 나타났다. 이 때 사용된 건 RC4와 살사20(Salsa20)이라는 스트림 사이퍼였다. 이는 좀 특이한 점으로, APT10은 이전 공격들에서 오로지 RC4만을 사용했었다.
이 사건들을 조사한 또 다른 보안 업체 라피드7(Rapid7)에 의하면 미국의 로펌에 대한 공격이 가장 먼저 벌어졌다고 한다. 그 다음이 의류 회사였고 마지막이 노르웨이의 IT 서비스 업체였다고 라피드7은 보고 있다. “이 모든 공격에서 시트릭스라는 원격 데스크톱 솔루션이 사용되었으며, DLL 사이드로딩 기술이 목격되었습니다.”
레코디드 퓨처는 “중국은 경제적 성장을 위해 온갖 수단을 다 동원하고 있으며, 그것은 과거부터 지금까지 계속되어 온 것”이라고 강조했다. “그런 과정에서 가장 많은 피해를 입는 건 서양 국가들의 기업들입니다. 이로 인해 국제 무역과 상호거래의 규범이 흔들리고 있으며, 불공정한 경쟁이 발생하고 있습니다. 특허를 많이 내는 것이 강점인 기업들이라면 특히 중국 해커들에 주의를 기울이고 경계해야 합니다.”
3줄 요약
1. 중국의 해커 그룹 APT10, 사이버 공간 누비며 지적재산 탈취에 몰두.
2. 경제 발전을 해킹으로 하려는 중국, 국제 경제의 규범 흐트러트리고 있음.
3. 지적재산 많이 보유한 기업들은 특히 중국 해커들을 조심해야 함. 특허 기술 마련만큼 소중해진 보안.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
