해커들이 코로나19 대응을 두고 중국 정부를 겨냥하다

사이버 보안 회사 FireEye는 수요일 베트남 정부와 연관된 해커들이 COVID-19 위기에 대한 정보를 수집하기 위해 중국 정부 기관을 겨냥하고 있다고 보고했습니다.

FireEye에 따르면, 베트남 정부를 대신해 활동하는 것으로 알려진 해킹 그룹 “APT32” 또는 “오션 로터스”가 중국의 비상 관리부와 코로나19 팬데믹의 진원지인 우한 정부의 구성원들을 겨냥한 스피어 피싱 캠페인에 연루되어 있다고 합니다.

“이 공격들은 바이러스가 정보 수집의 우선 사항이라는 것을 보여줍니다. 모두가 자신이 가진 모든 것을 쏟아붓고 있으며, APT32는 베트남이 가진 것입니다.”라고 FireEye는 블로그 게시물에서 말했습니다.

FireEye 연구원들은 APT32가 2020년 1월부터 4월까지 최소한 중국 목표에 대한 침입 캠페인을 수행했다고 믿고 있습니다.

이 보안 회사는 2020년 1월 6일 APT32가 중국의 비상 관리부에 추적 링크가 포함된 이메일을 보냈을 때 이 캠페인을 처음으로 주목했습니다. 포함된 링크에는 피해자의 이메일 주소와 이메일이 열렸을 경우 행위자에게 보고하는 코드가 포함되어 있었습니다.

FireEye는 또한 중국의 우한 정부와 비상 관리부와 관련된 이메일 계정을 드러내는 추가 추적 URL을 발견했습니다.

포함된 링크의 도메인은 12월에 동남아시아 국가를 겨냥한 METALJACK 피싱 캠페인의 명령 및 제어 도메인으로 사용된 것과 동일했습니다.

“APT32는 아마도 중국어를 사용하는 목표를 겨냥하여 Covid-19 테마의 악성 첨부 파일을 사용했을 것입니다. 전체 실행 체인을 발견하지는 못했지만, 우리는 페이로드를 실행하는 동안 중국어 제목의 Covid-19 미끼 문서를 표시하는 METALJACK 로더를 발견했습니다.”라고 블로그 게시물은 덧붙였습니다.

쉘코드는 피해자의 컴퓨터 이름과 사용자 이름을 수집하기 위해 시스템 조사를 수행한 다음 해당 값을 URL 문자열에 추가합니다. 그런 다음 URL로 호출을 시도합니다. 호출이 성공하면 악성코드는 METALJACK 페이로드를 메모리에 로드합니다.

“COVID-19 위기는 정부에 심각하고 존재론적인 우려를 제기하며, 현재의 불신 분위기는 불확실성을 증폭시키고 정보 수집을 무장 충돌에 필적하는 규모로 장려하고 있습니다. 국가, 주 또는 지방 정부, 비정부 조직 및 국제 기구가 표적이 되고 있습니다. 의료 연구도 표적이 되었습니다.”라고 FireEye는 말했습니다.

“이 위기가 끝날 때까지 관련 사이버 스파이 활동이 전 세계적으로 계속 강화될 것으로 예상합니다.”

그러나 목요일, 베트남 외교부는 FireEye의 보고서에 대해 정부와 연관된 해커들이 중국 기관을 겨냥하고 있다는 주장을 “근거가 없다”고 반응했습니다.

“이 주장은 근거가 없습니다.”라고 외교부 대변인 응우옌 투안 탕이 기자들에게 말했습니다. “베트남은 모든 사이버 공격을 금지하며, 이는 법에 의해 비난받고 엄격히 처리되어야 합니다.”

탕은 또한 베트남이 사이버 공격과 싸우기 위해 국제 파트너와 협력할 준비가 되어 있다고 덧붙였습니다.