페이스북은 멀웨어 확산을 위해 사이버 스파이 활동에 연루된 국가 지원 해킹그룹 APT32와 연결된 일부 계정을 차단했다.

페이스북은 플랫폼을 악용해 악성코드를 유포 한 APT32 사이버 스파이 활동과 관련된 여러 계정을 정지했다고 밝혔다.

OceanLotus 및 APT-C-00으로도 알려진 베트남과 연결된 APT 그룹 APT32는 코로나19 위기에 대한 정보를 수집하기 위해 중국 기관에 대한 사이버 스파이 활동을 수행했다.

APT32 그룹은 2012년부터 활동 해 왔으며 여러 산업 및 외국 정부, 반체제 인사 및 언론인을 대상으로 하는 조직을 표적으로 삼았다.

2014년부터 파이어아이의 전문가들은 베트남의 제조, 소비재 생산 전문 외국 기업을 대상으로 하는 APT32 그룹을 관찰했다.

APT32는 또한 주변 네트워크 보안 및 기술 인프라 회사와 외국 투자자와 연결된보안 회사를 타깃으로 했다.

이에 페이스북 보안팀은 APT32의 실제 신원을 공개하고 이 그룹을 CyberOne 그룹이라는 베트남의 IT 회사와 연결돼 있다고 전했다.

페이스북 측은 “베트남에 기반을 둔 지능형 지속적 위협 행위자 APT32는 국내·외 베트남 인권 운동가, 라오스와 캄보디아를 포함한 다양한 외국 정부, 비정부 기관, 뉴스 대행사 및 정보 기술, 접객업, 농업 분야의 여러 기업을 표적으로 삼고 공격을 진행해 왔다”고 설명했다.

APT32는 활동가 또는 기업으로 위장 해 가짜 페이스북 계정 및 페이지 네트워크를 만들고 운영한 것이다.

APT32 조직은 국내외 베트남 인권 운동가, 라오스와 캄보디아를 포함한 외국 정부, 비정부기구, 뉴스 대행사, 정보 기술, 접객업, 농업 및 상품, 병원, 소매, 자동차 산업 및 모바일 서비스. 위협 행위자들은 관심있는 사람들에게 가짜 페이스북 계정을 사용해 접촉하고 있으며, 팔로워를 대상으로 맬웨어 및 피싱 공격으로 특별히 설계된 페이지로 접속을 유도했다.

또 APT32 조직은 공식 구글 플레이스토어에 업로드 된 악성 안드로이드 앱에 대한 링크를 공유했다.

APT32는 또한 손상된 웹 사이트 또는 자체 사이트를 통해 워터링 홀 공격을 수행했다.

이 그룹은 맞춤형 페이로드로 대상 머신을 손상 시키도록 설계된 맞춤형 악성 코드를 사용했다.

페이스북은 YARA 규칙 및 맬웨어 서명을 비롯한 사이버공격 그룹에 대한 정보를 업계 파트너와 공유하고 이러한 활동을 감지하고 중지 할 수 있도록 했다. 또한 그룹이 사용하는 도메인을 차단했다.

★정보보안 대표 미디어 데일리시큐!★