[데일리시큐]중국 APT41 해킹그룹, 구글 캘린더 악용 은밀한 C2 통신…‘TOUGHPROGRESS’ 악성코드 사용 정황 확인

뉴스 요약

중국 정부와 연계된 해킹 조직 APT41이 Google 캘린더 서비스를 악용, C2(명령 제어) 통신을 수행한 정황이 Google Threat Intelligence Group(GTIG)에 의해 포착됐습니다. 악성코드 "TOUGHPROGRESS"를 이용한 이 공격은 정교한 단계적 작동과 Google 캘린더를 C2 채널로 악용하는 고도화된 방식으로 이루어졌습니다. 공격자는 정부기관 웹사이트를 해킹하여 악성 ZIP 파일을 호스팅하고, 피해자에게 악성 링크를 포함한 Google 캘린더 초대장을 발송하는 방식을 사용했습니다.

핵심 포인트

• APT41, Google 캘린더 악용 C2 통신 적발
• 악성코드 "TOUGHPROGRESS" 사용
• 정부기관 웹사이트 해킹 및 악성 ZIP 파일 호스팅
• Google 캘린더 초대장을 통한 악성 링크 배포
• 단계적 작동 및 탐지 회피 고도화된 공격

기술 세부 내용

1️⃣ APT41 (Advanced Persistent Threat 41)

• 중국 정부와 연계된 것으로 알려진 지능형 지속 위협(APT) 그룹입니다. ️
• 사이버 스파이 활동과 금전적 이득을 위한 공격 모두에 가담하는 것으로 알려져 있습니다.
• 정부 기관, 통신, 여행, 게임, 교육, 가상 화폐 등 다양한 산업을 대상으로 공격을 수행합니다.

2️⃣ C2 (Command and Control) 통신

• 공격자가 감염된 시스템(좀비 PC)을 제어하기 위해 사용하는 통신 채널입니다.
• 공격자는 C2 서버를 통해 악성코드에 명령을 내리고, 감염된 시스템에서 정보를 수집합니다.
• 이번 공격에서 APT41은 Google 캘린더를 C2 채널로 활용하여 보안 솔루션의 탐지를 우회했습니다. ️

3️⃣ TOUGHPROGRESS 악성코드

• APT41이 사용한 악성코드입니다.
• 피해자 시스템 내부에서 정교하게 단계적으로 작동하는 형태로 구성되어 있습니다. ⚙️
• 이러한 단계적 작동 방식은 보안 솔루션의 탐지를 회피하는 데 효과적입니다.

4️⃣ Google 캘린더 악용

• APT41은 Google 캘린더 초대 기능을 악용하여 악성 링크를 배포했습니다.
• 사용자가 초대를 수락하면 악성 링크가 포함된 이벤트가 캘린더에 추가됩니다.
• 이는 사용자에게 의심을 덜 일으키고 악성 링크 클릭을 유도하는 효과적인 사회공학적 기법입니다.

5️⃣ 정부기관 웹사이트 해킹 및 악성 ZIP 파일 호스팅

• APT41은 정부기관 웹사이트를 해킹하여 악성 ZIP 파일을 호스팅했습니다.
• 이를 통해 악성 파일을 배포하고, 공격의 신뢰도를 높이는 효과를 얻었습니다. ⬆️

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166528