- 중국 Apt Jewelbug가 러시아 IT 공급업체에 침투하여 5개월 동안 발각되지 않은 채 살았습니다.
- 공격자들은 방어를 우회하고 Yandex Cloud를 통해 데이터를 추출하기 위해 Microsoft Debugger로 이름을 바꿨습니다.
- 시만텍은 중국에 기반을 둔 행위자들이 지정학적 동조에도 불구하고 이제 러시아를 표적으로 삼고 있다고 밝혔습니다.
최근 중국 해커들이 러시아를 표적으로 삼는 것이 목격되면서 서방 사이버 보안 커뮤니티에서는 두 나라를 사이버 공간과 그 너머의 동맹국으로 보는 눈살을 찌푸리게 했습니다.
이번 주 초, 보안 회사인 시만텍(Symantec)은 “최근 몇 달 동안 매우 활동적인” 중국 정부 지원 위협 행위자인 Jewelbug의 작업을 자세히 설명하는 새로운 보고서를 발표했습니다. 보고서에서 시만텍은 Jewelbug가 남미, 남아시아, 대만, 특히 러시아를 목표로 삼고 있는 것으로 밝혀졌다고 밝혔습니다.
빠르면 2025년 초 Jewelbug는 러시아 IT 서비스 제공업체의 네트워크에 몰래 침투하여 그곳에 머무른 기간이 5개월도 채 되지 않았습니다. 그 기간 동안 이들은 IT 서비스 제공업체의 고객을 대상으로 공급망 공격을 시작하는 데 사용할 수 있는 코드 저장소와 소프트웨어 빌드 시스템에 액세스할 수 있었습니다.
7zup.exe 및 Yandex
연구원들이 IT 제공업체의 시스템에서 7zup.exe라는 파일을 발견했을 때 이러한 손상이 발견되었습니다. 이는 CDB(Microsoft Console Debugger)라는 Microsoft 바이너리의 합법적이고 이름이 변경된 복사본입니다.
시만텍은 이 도구를 사용하여 쉘코드 실행, 애플리케이션 화이트리스트 우회, 실행 파일 실행, DLL 실행, 보안 솔루션 비활성화 등을 수행할 수 있다고 덧붙였습니다.
보고서는 “최신 버전의 cbd.exe를 사용하는 것은 Jewelbug 활동의 특징”이라고 밝혔습니다. “Microsoft에서는 기본적으로 CDB 실행을 차단하고 분명히 필요한 경우 특정 사용자에 대해 화이트리스트에 추가할 것을 권장합니다.”
CBD를 사용하여 Jewelbug는 자격 증명을 덤프하고, 지속성을 설정하고, 예약된 작업을 통해 권한을 승격할 수 있었습니다. 그들은 Windows 이벤트 로그를 지우고 Yandex Cloud를 사용하여 데이터를 추출하여 흔적을 숨기려고 했습니다. Yandex는 러시아 클라우드 서비스 제공업체로, 아마도 해당 국가에서 일반적으로 사용되고 일반적으로 위험 신호를 제기하지 않기 때문에 선택되었을 것입니다.
시만텍은 “그러나 중국 APT 그룹이 러시아 회사를 표적으로 삼은 것은 러시아가 중국 기반 행위자의 활동에 제한을 받지 않는다는 것을 보여준다”고 결론지었습니다.
~을 통해 등록하다
Google 뉴스에서 TechRadar 팔로우 그리고 우리를 선호 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰, 의견을 받아보세요. 팔로우 버튼을 꼭 눌러주시는 것 잊지 마세요!
그리고 물론 당신은 할 수 있습니다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 언박싱, 동영상 등의 형태로 정기적인 업데이트를 받아보세요. 왓츠앱 매우
