중국 해커, ISP를 침해하여 DNS 응답을 변조하다

사이버 보안 회사 Volexity의 연구원들은 금요일에 중국 해킹 그룹 ‘StormBamboo’가 s 성공적으로 인터넷 서비스 제공업체(ISP)를 침해하여 악성코드가 포함된 자동 소프트웨어 업데이트를 남용했다고 밝혔습니다.

이 중국 사이버 스파이 위협 그룹은 Evasive Panda, Daggerfly, StormCloud로도 추적되며, 최소 2012년부터 활동해 왔으며, 중국 본토, 홍콩, 마카오, 나이지리아 및 여러 동남아시아 및 동아시아 국가의 조직을 표적으로 삼고 있습니다(출처: BleepingComputer).

Volexity가 조사한 사건 중 하나에서 위협 연구원들은 StormBamboo가 HTTP와 같은 안전하지 않은 업데이트 메커니즘을 사용하는 소프트웨어를 표적으로 삼았으며, 설치 프로그램의 디지털 서명을 제대로 검증하지 않아 macOS 및 Windows에서 피해자의 기계에 악성코드 페이로드를 배포했다고 발견했습니다.

“이 애플리케이션이 업데이트를 검색하러 갔을 때, 의도된 업데이트를 설치하는 대신 악성코드를 설치하게 되었으며, 여기에는 MACMA와 POCOSTICK(일명 MGBot)이 포함됩니다.”라고 Volexity는 금요일에 발표한 보고서에서 설명했습니다.

이를 위해 공격자들은 피해자의 DNS 요청을 중단하고 수정하여 악성 IP 주소로 리디렉션했습니다.

이 기술은 StormBamboo의 명령 및 제어(C2) 서버에서 피해자의 시스템으로 악성코드를 전달하여 사용자 상호작용이 필요하지 않았습니다.

Volexity는 StormBamboo가 자동 업데이트 메커니즘을 사용하는 여러 소프트웨어 공급업체를 표적으로 삼고 있으며, 악성코드를 푸시하기 위한 단계에서 다양한 복잡성을 사용하고 있음을 발견했습니다.

“예를 들어, 그들은 5KPlayer 요청을 이용하여 youtube-dl 종속성을 업데이트하고 C2 서버에 호스팅된 백도어 설치 프로그램을 푸시했습니다.”라고 BleepingComputer 보고서는 언급했습니다.

“대상의 시스템을 침해한 후, 위협 행위자들은 악성 Google Chrome 확장 프로그램(ReloadText)을 설치하여 브라우저 쿠키와 메일 데이터를 수집하고 도난당하게 했습니다.”

위협 연구원들은 ISP에 통보하고 협력하여 그들의 네트워크에서 중요한 트래픽 라우팅 장치를 조사했습니다. ISP가 재부팅한 후, 특정 네트워크 구성 요소를 오프라인으로 전환하여 즉시 DNS 변조를 중단했습니다.

“StormBamboo는 제3자(이 경우 ISP)를 침해하여 의도된 대상을 침해하는 고도로 숙련되고 공격적인 위협 행위자입니다.

이 위협 행위자가 다양한 캠페인에서 사용하는 악성코드의 다양성은 상당한 노력이 투자되었음을 나타내며, macOS 및 Windows뿐만 아니라 네트워크 장비를 위한 활성 지원 페이로드도 포함됩니다.”라고 연구원들은 결론지었습니다.