중국의 APT40은 어떻게 사이버 보안 공격에 그렇게 빠르게 적응하고 있을까요?

중국에 본사를 둔 해커 그룹인 APT40은 사이버 보안 공격에 신속하게 적응하는 놀라운 능력이 돋보입니다. 이들의 민첩성과 전문 지식을 통해 대상 조직의 방어를 우회하여 IT 보안 전문가에게 지속적인 과제를 안겨줄 수 있습니다.

APT40: 강력한 사이버네틱 스파이 그룹

호주, 캐나다, 독일, 일본, 뉴질랜드, 한국, 영국 및 미국의 사이버 보안 기관은 APT40으로 알려진 중국과 연계된 사이버 스파이 그룹에 대한 공동 주의보를 발표했습니다. 이 그룹은 새로 공개된 보안 취약점을 공개한 지 몇 시간 또는 며칠 내에 악용할 수 있습니다.

신속한 변환 용량

Bronze Mohawk, Gingham Typhoon, Kryptonite Panda라고도 불리는 APT40은 취약성 개념 증명(PoC)을 표적화, 정찰 및 공격 작업으로 빠르게 전환하는 탁월한 능력을 입증했습니다.

역사와 소속

APT40은 최소 2011년부터 활동해 왔으며 아시아 태평양 지역의 기업을 표적으로 삼아 공격을 수행했습니다. 2021년 7월, 미국과 동맹국은 공식적으로 이 그룹을 중국 국가안전부(MSS)의 소행으로 지목하고 여러 구성원을 영업 비밀과 고가치 정보를 훔치기 위한 다년간의 캠페인을 벌였다고 기소했습니다.

사용된 공격 방법

APT40은 웹 셸을 배포하여 지속성을 설정하고 피해자 환경에 대한 액세스를 유지하는 것으로 알려져 있습니다. 또한 이 그룹은 명령 및 통제(C2) 목적으로 호주 웹사이트를 사용합니다.

• 널리 사용되는 공용 소프트웨어(예: Log4j, Atlassian Confluence, Microsoft Exchange)의 취약점을 사용합니다.
• 대상 네트워크를 정기적으로 인식합니다.
• 오래되었거나 패치가 적용되지 않은 장치(SOHO 라우터 등)를 악용합니다.

스피어 피싱 및 ScanBox 캠페인

최근 몇 년 동안 APT40은 ScanBox 정찰 프레임워크를 사용하고 파푸아뉴기니를 대상으로 하는 피싱 캠페인을 위해 WinRAR(CVE-2023-38831)과 같은 소프트웨어의 보안 취약점을 악용하는 침입의 물결에 연결되었습니다.

기관 서비스의 손상

지난 3월 뉴질랜드 정부는 APT40을 의회 법률 자문실 및 의회 서비스국의 2021년 타협과 연관시켰습니다. 이는 이 그룹이 조직한 공격의 범위와 효율성을 보여줍니다.

조직을 위한 권장 사항

조직에서는 적절한 로깅 메커니즘을 유지하고, 다단계 인증(MFA)을 적용하고, 강력한 패치 관리 시스템을 구현하고, 수명이 다한 장비를 교체하고, 사용하지 않는 서비스, 포트 및 프로토콜을 비활성화하고 네트워크를 분할하여 민감한 정보에 대한 액세스를 방지하는 것이 중요합니다. 데이터.

원천: thehackernews.com