- 악명 높은 해킹 그룹 솔트 타이푼(Salt Typhoon)이 통신업체를 표적으로 삼을 가능성이 있다
- 연구자들은 그룹이 이전에 사용했던 전략을 확인했습니다.
- 솔트 태풍(Salt Typhoon)은 대규모 사이버 스파이 활동을 통해 최대 8개의 미국 통신 네트워크를 침해했습니다.
악명 높은 중국 해킹 그룹 솔트 타이푼(Salt Typhoon)이 이번에는 유럽에서 통신 회사에 대한 침입과 다시 한번 연관되어 있습니다.
DarkTrace의 새로운 보고서에 따르면 이 그룹은 “DLL 사이드로딩 및 제로데이 공격과 같은 전술적 기술을 사용하여 전 세계 인프라를 표적으로 삼았습니다.”
초기 단계의 침투 활동에서는 심각도가 높은 Cisco 결함을 사용하여 액세스 권한을 얻고, 수백만 명의 미국 통신 고객의 정보를 훔치고, 결국 장치를 수집하여 네트워크에서 트래픽을 수집하는 광범위하고 강력한 다년간의 캠페인에서 최대 8개의 통신 회사에 대한 대규모 공격과 같은 이전 SALT Typhoon 전술의 반영을 식별했습니다.
DLL 사이드 로딩
최근 사건에서 DarkTrace는 Salt Typhoon이 기본 액세스를 얻기 위해 Citrix NetScaler 게이트웨이 어플라이언스를 사용하여 기밀성과 지속성을 갖춘 합법적인 도구를 악용했다는 사실을 어느 정도 확신했습니다.
여기에서 범죄자들은 Deed RAT라고도 알려진 Snappybee 악성코드를 배포했습니다. 이 악성코드는 중국 위협 행위자들이 일반적으로 사용하는 또 다른 기술인 DLL 사이드 로딩이라는 기술을 사용하여 실행됩니다.
Darktrace는 “백도어는 Norton Antivirus, Bikav Antivirus 및 IObit Malware Fighter와 같은 바이러스 백신 소프트웨어에 대한 유효한 실행 파일과 함께 DLL로 이러한 내부 엔드포인트에 배포되었습니다.”라고 설명했습니다.
“이러한 활동 패턴은 공격자가 페이로드를 실행하기 위해 합법적인 바이러스 백신 소프트웨어를 통한 DLL 사이드 로딩에 의존했음을 나타냅니다. Salt Typhoon 및 유사한 그룹은 이 기술을 사용한 기록이 있으며 이를 통해 신뢰할 수 있는 소프트웨어로 위장한 페이로드를 실행하고 기존 보안 제어를 우회할 수 있습니다.”
Darktrace는 공격이 초기 단계 이상으로 확대되기 전에 침입을 탐지하고 해결하여 위협을 무력화한다고 말합니다.
이는 특히 국가가 후원하는 위협 행위자가 지속적으로 증가하고 있는 상황에서 기존의 시그니처 기반 접근 방식에 비해 사전 예방적, 이상 기반 방어 및 탐지의 중요성을 강조합니다.
모든 예산에 맞는 최고의 바이러스 백신
