베트남의 APT32, 코로나 정보 찾아 중국 정부 해킹

오션로터스라고도 알려진 그룹...동남아시아 국가들 주로 노려와
코로나 관련해 믿을만한 정보가 절실히 필요한 상황...사이버전 치열

[보안뉴스 문가용 기자] 베트남과 관련이 있는 해킹 단체인 APT32가 중국의 조직들을 겨냥해 해킹 공격을 실시한 것으로 보인다고 보안 업체 파이어아이(FireEye)가 발표했다. 공격의 목적은 코로나 사태와 관련된 첩보를 수집하는 것이라고 한다.

[이미지 = iclickart]

APT32는 오션로터스(OceanLotus)라는 이름으로도 알려진 그룹으로, 공격에 사용할 자원이 충분하고 공격 동기도 분명한 것으로 유명하다. 주로 동남아시아에 있는 정부 기관이나 민간 기업들을 공략해왔다.

이번에 파이어아이가 밝힌 바에 의하면 APT32는 중국의 비상관리부(Ministry of Emergency Management)와 우한 시로 스피어피싱 메일을 보냈다고 한다. 파이어아이는 “현재 전 세계적으로 코로나와 관련된 사이버 정찰 행위가 크게 늘어나고 있다”며 “위기 대처와 관련된 정보를 시급히 확보하려고 모든 나라가 애를 쓰고 있기 때문”이라고 설명했다. 베트남 정부가 APT32를 동원한 것도 그것과 맥락을 같이 한다는 것이다.

첫 번째 공격이 발견된 건 올해 1월 6일이다. 중국의 비상관리부로 이메일이 하나 발송됐다. 받는 사람의 이메일 주소가 저장된 링크가 하나 걸려 있었다. 피해자가 이메일을 열 경우, 그 사실을 전달받기 위한 장치였다. 이 이메일을 분석, 추적했을 때 파이어아이는 중국 우한 정부로도 같은 공격이 들어가고 있음을 확인할 수 있었다고 한다.

이 중 공격에 활용된 도메인 하나는 libjs.inquirerjs.com으로, 2019년 12월 메탈잭(METALJACK)이라는 피싱 캠페인의 C&C 도메인으로서 활용된 바 있다. 메탈잭 캠페인은 동남아 국가들을 겨냥해 진행됐었다. 파이어아이에 의하면 APT32는 코로나를 테마로 한 미끼 문서들을 메일로 전송하고 있으며, 피해자들이 이 메일을 열 경우 메탈잭을 다운로드 받는 로더가 설치된다고 한다.

미끼 문서는 중국어로 작성되어 있으며, 뉴욕타임즈의 기사 일부가 발췌되어 있기도 하다. 피해자들이 이 화면에 집중하는 동안 로더가 뒤에서 작동하며 메탈잭의 페이로드가 설치되기 시작한다.

이 외에도 또 다른 출처에서부터 셸코드가 피해자의 시스템에 로딩되기도 하는데, 이 셸코드에도 메탈잭 페이로드가 포함되어 있다. 또한 셸코드에는 피해자 시스템 정보를 수집하는 기능도 있었는데, 주로 컴퓨터 이름과 사용자 이름을 추출한다. 그런 후 메탈잭을 메모리에서 로딩한다.

파이어아이는 보고서를 통해 “코로나19 사태로 인해 각국의 정부들은 그야말로 비상체제를 맞고 있다”며 “불확실성과 불신이 팽배해지고 있어 제대로 된 정보가 귀해지는 때”라고 설명했다. 그러면서 “이미 알려진 공식 출처를 넘어서 자신들만의 독자적인 정보를 갖추고 싶어 하는 정부들이 물밑 작업을 실시하고 있는 상황”이라고도 덧붙였다.

보다 상세한 내용은 다음 보고서(https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html)를 통해 열람이 가능하다.

3줄 요약
1. 베트남의 APT 단체, 중국의 정부 기관 노리고 스피어피싱 공격 실시.
2. 목적은 코로나와 관련된 유용한 정보를 빼앗는 것.
3. 현재 많은 정부들이 코로나 정보에 배고픈 상황이라 사이버전 치열.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)