HiatusRAT 맬웨어 재등장, 대만 기업과 미군 시스템 공격

2023-08-24     페소아 기자

HiatusRAT 맬웨어의 배후에 있는 위협 행위자들이 대만 기반 조직과 미군 조달 시스템을 겨냥한 새로운 정찰 및 표적 활동을 재기했다고 더해커뉴스가 보도했다. 

보도에 따르면, Lumen Black Lotus Labs는 지난 주 발표된 보고서에 따르면 다양한 아키텍처용으로 악성코드 샘플을 재컴파일하는 것 외에도 새로운 가상 사설 서버(VPS)에서 호스팅된 것으로 알려졌다.

Lumen Black Lotus Labs는 멀웨어에 관련된 활동 클러스터를 "뻔뻔스럽고" "가장 대담한 것 중 하나"라고 설명하여 활동이 둔화될 기미가 없음을 나타냈다. 위협 행위자의 신원과 출처는 현재 알 수 없다.

활동 대상에는 반도체 및 화학 제조업체와 같은 상업 회사, 대만에 있는 최소 하나의 시 정부 조직 및 방위 계약에 대한 제안서를 제출하고 검색하는 것과 관련된 미국 국방부(DoD) 서버가 포함되었다.

HumaRAT는 2022년 7월에 시작된 캠페인의 일환으로 라틴 아메리카와 유럽에 주로 위치한 피해자를 비밀리에 정찰하기 위해 비즈니스 등급 라우터를 대상으로 한 것으로 2023년 3월 사이버 보안 회사에 의해 처음 공개되었다.

트래픽을 수동적으로 수집하여 C2(명령 및 제어) 인프라의 프록시 네트워크로 변환하기 위해 전 세계적으로 100개에 달하는 에지 네트워킹 장치가 감염되었다.

2023년 6월 중순부터 8월까지 관찰된 최신 공격 세트는 MIPS, MIPS64 및 i386과 함께 Arm, Intel 80386 및 x86-64 아키텍처용으로 특별히 설계된 사전 구축된 HiatusRAT 바이너리를 사용한다.

맬웨어를 호스팅하는 서버에 대한 연결을 확인하기 위한 원격 측정 분석에서 "인바운드 연결의 91% 이상이 대만에서 발생했으며 Ruckus에서 제조한 에지 장치를 선호하는 것"으로 드러났다.

HiatusRAT 인프라는 피해자 네트워크와 직접 통신하는 페이로드 및 정찰 서버로 구성된다. 이러한 서버는 티어 1 서버에 의해 명령을 받고 티어 2 서버에서 운영 및 관리된다.

공격자는 6월 13일 약 2시간 동안 DoD 서버에 연결하기 위해 두 개의 서로 다른 IP 주소 207.246.80[.]240 및 45.63.70[.]57을 사용하는 것으로 확인되었다. 이 기간 동안 11MB의 양방향 데이터가 전송된 것으로 추정된다.

최종 목표가 무엇인지는 분명하지 않지만 적이 미래의 표적을 위해 현재 및 미래의 군사 계약과 관련하여 공개적으로 사용 가능한 정보를 찾고 있었을 가능성이 있다.

라우터와 같은 경계 자산을 표적으로 삼는 것은 최근 몇 달 동안 일종의 패턴이 되었다. 중국과 관련된 위협 행위자는 대상 환경 내에서 장기적인 지속성을 구축하기 위한 패치되지 않은 Fortinet 및 SonicWall 어플라이언스의 보안 결함 악용과 관련이 있다.


◆하반기 최대 정보보호 컨퍼런스 PASCON 2023 개최-보안교육7시간 이수 가능

○ 주최: 데일리시큐

○ 후원: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회, 한국화웨이

○ 참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업 정보보호 담당자, 개인정보보호 담당자, IT담당자 등 1,000여 명 참석

(※보안실무자가 아니면 참석금지)

○ 일시: 2023년 9월 5일 화요일(오전9시~오후5시30분)

○ 장소: 더케이호텔서울 2층 가야금홀 전관

○ 솔루션전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션

○ 참가기업 : △한국화웨이 △좋을 △블랑코코리아 △클라우드네트웍스 △굿모닝아이텍 △노르마 △오픈텍스트 △넥스원소프트 △모니터랩 △옥타코 △트렌드마이크로 △지란지교에스앤씨 △파수 △롤텍 △아이티원 △이지시큐 △엠클라우독 △퓨쳐시스템 △씨디네트웍스 △센티널테크놀로지 △다크트레이스(Darktrace) △지란지교데이터 △에프원시큐리티 △에스에스알 △인스피언 △스콥정보통신 △한국전자인증 △디지서트 △엘세븐시큐리티 △트리니티소프트 △스냅태그 △KISIA 

○ 보안교육인증: 공무원 및 기업 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간 수료증 발급

○ 참석문의: 데일리시큐 길민권 기자/ mkgil@dailysecu.com

○ 사전등록클릭

○ 공공, 기업 보안책임자/실무자가 아니면 참석이 금지됩니다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★