2024-05-24 13:50 (금)
中 해킹조직 UNC215, 이스라엘 타깃 은밀한 사이버 스파이 활동 드러나
상태바
中 해킹조직 UNC215, 이스라엘 타깃 은밀한 사이버 스파이 활동 드러나
  • 길민권 기자
  • 승인 2021.08.12 16:46
이 기사를 공유합니다

중국 사이버공격 조직 UNC215가 장기간에 걸쳐 이스라엘 조직을 표적으로 공격을 시도하고 거짓 플래그를 사용해 이란 조직의 공격인 것 처럼 속여 공격을 해 온 것으로 드러났다.

사이버 보안기업 멘디언트(Mandiant)가 이 공격에 대해 자세히 설명했다며 시큐리티어페이스가 보도했다.

멘디언트 전문가들에 따르면, 이 그룹을 UNC215로 명명했으며 TTP는 중국과 연결된 APT27 사이버공격 그룹과 중복되지만 두 그룹이 동일하다고 말할 충분한 증거는 아직 없다고 전했다.

UNC215 조직은 주로 Microsoft SharePoint 취약점 CVE-2019-0604를 악용해 중동 및 중앙 아시아를 타깃으로 웹쉘 및 및 특정 페이로드를 설치했다.

멘디언트는 “UNC215와 APT27 사이에 공격기술이 상당수 중복되지만 충분한 증거는 없는 상황이며 “APT27은 2015년 이후로 활동이 멈춘 상태고 UNC215는 APT27이 이전에 집중했던 많은 지역을 목표로 삼고 공격을 진행하고 있다”고 설명했다.

공격자는 타깃 인프라에 대한 초기 액세스 권한을 얻은 후 광범위한 내부 네트워크 정찰을 수행하고 추가 악성 활동을 수행한 것으로 조사됐다.

또 공격자들이 FOCUSFJORD 웹 셸 및 HYPERBRO와 같은 맞춤형 악성코드와 함께 WHEATSCAN이라는 비공개 네트워크 스캐너를 사용해 내부 시스템을 감시하고 대상 조직 내에서 지속성을 유지했다고 전했다.

이 그룹은 매우 정교한 공격을 감행하고, 공개적으로 이란 APT 그룹과 관련된 웹쉘을 사용하는 것은 분석가를 혼란에 빠뜨리기 위해서였다고 덧붙였다.

한편 2019년 이란 정부는 APT27 조직이 정부 네트워크를 공격했다고 비난하고 HYPERBRO 악성코드에 대한 탐지 및 제거 도구를 출시했다고 밝힌 바 있다.

일부 공격에서 UNC215는 2019년 텔레그램에 유출된 이란 해킹 도구도 사용했다.

멘디언트는 또 이스라엘에 대한 중국의 사이버 스파이 활동이 일대일로(BRI)와 관련된 중국의 수십억 달러 투자와 이스라엘의 강력한 기술 부문에 대한 관심이 표출된 것이라고 전했다.

더불어 중국은 BRI 경로를 따라 정치, 경제, 안보 등 잠재적인 장애물을 모니터링하기 위해 수많은 사이버 침입 캠페인을 수행했으며, UNC215가 이스라엘과 가까운 중동 지역에서 이러한 중요한 기반 시설 프로젝트에 관련된 정부와 조직을 표적으로 지속적인 공격을 할 것이라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★