<요약>
Recorded Future보고서 원문 : https://www.recordedfuture.com/chinese-threat-actor-tempperiscope/?utm_source=SecurityWeek
공격그룹 : TEMP.Periscope 혹은 Leviathan으로 불림. 최근 5년간 활동. 올해 초 영국 엔지니어와 해운업 회사들을 공격.
2017년 10월경 TEMP.Periscope이 중국인 해커집단이라고 처음으로 언급됨
추측 :
1) 러시아 해커 집단이 TEMP.Periscope기술을 차용했을 가능성
2) TEMP.Periscope이 러시아 해커들의 기술을 차용했을 가능성
3) 혹은 제 3의 해커 집단이 러시아와 TEMP.Periscope의 기술을 차용했을 가능성
-> Recorded Future의 조사에 따르면 중국인 해커 집단의 소행일 가능성이 유력
공격목표 : 민감한 정보와 기밀 기술, 데이터 등에 접근하기 위한 것으로 추측
<과거 활동>
Microsoft Equation Editor 취약점(CVE-2017011882)을 이용하여 Cobalt Strike 페이로드를 보내는 공격.
<현재 활동 >
- APT28, Dragonfly, TEMP.Periscope와 연관된 기술들을 사용
- 2017년 7월, 영국 소재의 엔지니어 회사에 스피어피싱 공격을 펼침 (같은 회사는 2017년 5월에도 ETERNALBLUE 공격과
DNS 터널러(tunneler) 백도어 공격을 받음)
- 캄보디아 기자 이메일 공격(캄보디아 현지 정치, 인권 운동, 중국 발전에 주로 다루는 프리랜서 기자)
- 러시아 해커 그룹 Dragonfly와 APT28의 공격 방법TTPs(Tactics, Techniques and Procedures)을 활용함
- Dragonfly의 독자적인 공격방식인 SMB 크리덴셜(credential)과 APT28의 공격기술인 오픈소스툴 리스판더를
넷바이오스 네임 서비스(NBT-NS)포이즈너로 사용(2017년 APT28이 호텔 투숙객을 타깃으로한 공격에 사용한 방법)
- scsnewstoday[.]com 을 C&C로 활용.(해당 도메인은 최근 캄보디아 정부 공격에 사용됨.
과거 AIRBREAK 다운로더를 전파하는데에도 사용)
- 스피어 피싱에 사용된 이메일은 Foxmail계정에서 보내짐. 2018년 7월6일 악성링크를 첨부한 메일을 영국 회사에 보냄
1번째 링크 : ""file://""로 SMB세션을 실행하도록 구성
2번째 링크 : URL파일로 아웃바운드 SMB 연결을 하도록 구성
<영향성>
중국해커집단의 첨단기술 분야의 회사들에 대한 공격이 계속 되며, 특히 해운업관련 회사에 초점을 맞출 것으로 예상.
<참고자료>
Recorded Future보고서 원문 : https://www.recordedfuture.com/chinese-threat-actor-tempperiscope/?utm_source=SecurityWeek
출처 : https://www.securityweek.com/chinese-hackers-target-uk-engineering-company-report
'Incident Report' 카테고리의 다른 글
[2018.11.27] 새로운 리눅스 root 패스워드를 탈취하고, 백신을 우회하는 가상화폐 채굴 멀웨어 등장 (CVE-2016-5195,CVE-2013-2094) (0) | 2019.03.13 |
---|---|
[2018.11.22] 아마존 사용자 일부의 이름, 이메일 주소 노출 (0) | 2019.03.13 |
[2018.11.14] 나이지리아 ISP, Google 데이터 센터 트래픽 하이재킹 (0) | 2019.03.12 |
[2018.11.13] WordPress GDPR 준수 플러그인 취약점을 이용한 취약 웹사이트 공격 발생 (0) | 2019.03.12 |
[2018.11.12] 해커 그룹 "Inception" 1년전 MS office 취약점 사용 공격 (0) | 2019.03.08 |