[보안뉴스]중국 해커 그룹, 구글 캘린더 이벤트 이용해 해킹 공격

2025. 5. 31. 14:01·보안이슈
목차
  1. 뉴스 요약
  2. 핵심 포인트
  3. 기술 세부 내용
  4. 1️⃣ C2 (Command and Control) Infrastructure
  5. 2️⃣ 멀웨어 유포 방식
  6. 3️⃣ Google Calendar 악용 방식
  7. 4️⃣ 데이터 탈취
728x90
반응형

뉴스 요약

중국 정부 지원을 받는 해커 그룹이 Google Calendar 이벤트를 악용하여 데이터 탈취를 위한 C2(Command and Control) 허브로 활용하는 공격이 발견되었습니다. 감염된 정부 기관 웹페이지를 통해 멀웨어를 유포하고, 이 멀웨어가 생성한 Google Calendar 이벤트에 악성 명령어나 탈취한 데이터를 숨기는 방식입니다.

핵심 포인트

  • 중국 정부 지원 해커 그룹의 새로운 공격 방식 발견
  • Google Calendar 이벤트를 C2 허브로 악용
  • 감염된 정부 기관 웹페이지를 통한 멀웨어 유포
  • 탈취한 데이터 또는 악성 명령어를 Google Calendar 이벤트에 저장

기술 세부 내용

1️⃣ C2 (Command and Control) Infrastructure

  • C2 서버는 공격자가 감염된 시스템(좀비 시스템)을 원격으로 제어하는 데 사용되는 중앙 허브입니다. ️
  • 공격자는 C2 서버를 통해 좀비 시스템에 명령을 내리고, 데이터를 유출하며, 추가적인 악성 활동을 수행할 수 있습니다.
  • 이번 공격에서는 Google Calendar 이벤트가 C2 서버와 좀비 시스템 간의 통신 채널로 악용되었습니다. ️
  • 기존 C2 서버와 달리 Google Calendar는 합법적인 서비스이기 때문에 탐지가 어렵다는 장점이 있습니다.
  • 이러한 기법을 "Living off the Land" (LotL) 공격이라고 하며, 시스템에 이미 존재하는 도구와 서비스를 악용하여 공격을 수행하는 것을 의미합니다. ️

2️⃣ 멀웨어 유포 방식

  • 공격자는 감염된 정부 기관 웹페이지를 통해 멀웨어를 유포했습니다.
  • 사용자가 해당 웹페이지에 접속하면 멀웨어가 자동으로 다운로드 및 실행될 수 있습니다.
  • 이러한 공격 방식은 Watering Hole Attack으로, 특정 집단이 자주 방문하는 웹사이트를 감염시켜 공격하는 기법입니다.
  • 정부 기관 웹사이트는 일반적으로 신뢰도가 높기 때문에 사용자들이 의심 없이 접속할 가능성이 높아 공격에 효과적입니다. ️

3️⃣ Google Calendar 악용 방식

  • 멀웨어에 감염된 시스템은 공격자가 제어하는 Google 계정을 통해 Calendar 이벤트를 생성합니다.
  • 이벤트 제목, 내용, 시간 등에 악성 명령어 또는 탈취한 데이터를 암호화하여 숨깁니다.
  • 좀비 시스템은 주기적으로 Google Calendar 이벤트를 확인하고, 새로운 이벤트가 있으면 내용을 해독하여 악성 명령을 실행하거나 탈취한 데이터를 전송합니다.
  • Google Calendar는 정상적인 서비스이기 때문에 이러한 통신은 일반적인 트래픽처럼 보여 탐지가 어렵습니다. ️‍♂️

4️⃣ 데이터 탈취

  • 멀웨어는 감염된 시스템에서 중요한 데이터를 탈취할 수 있습니다.
  • 탈취한 데이터는 암호화되어 Google Calendar 이벤트에 저장되거나, 다른 C2 서버로 전송될 수 있습니다.
  • 공격자는 이렇게 탈취한 데이터를 활용하여 금전적 이득을 취하거나, 추가적인 공격을 수행할 수 있습니다.

 

출처: http://www.boannews.com/media/view.asp?idx=137486&kind=&sub_kind=

728x90
반응형
SMALL

'보안이슈' 카테고리의 다른 글

[데일리시큐]커넥트와이즈, 스크린커넥트 클라우드 인스턴스 해킹당해…국가 배후 해커그룹 소행  (0) 2025.05.31
[데일리시큐][크래프톤 특별기고] 게임회사에서의 개인정보보호 실무  (0) 2025.05.31
[데일리시큐]한국핀테크산업협회, 주요 5개 로펌과 핀테크 업계 AML 규제 대응 본격화  (0) 2025.05.30
[보안뉴스]강원도, 도내 18개 시군 통합 사이버 보안관제 체계 만든다  (0) 2025.05.30
[보안뉴스]해외 기업, 우리 국민 개인정보 보호 외면 안 돼...국내대리인 요건 구체화  (0) 2025.05.30
  1. 뉴스 요약
  2. 핵심 포인트
  3. 기술 세부 내용
  4. 1️⃣ C2 (Command and Control) Infrastructure
  5. 2️⃣ 멀웨어 유포 방식
  6. 3️⃣ Google Calendar 악용 방식
  7. 4️⃣ 데이터 탈취
'보안이슈' 카테고리의 다른 글
  • [데일리시큐]커넥트와이즈, 스크린커넥트 클라우드 인스턴스 해킹당해…국가 배후 해커그룹 소행
  • [데일리시큐][크래프톤 특별기고] 게임회사에서의 개인정보보호 실무
  • [데일리시큐]한국핀테크산업협회, 주요 5개 로펌과 핀테크 업계 AML 규제 대응 본격화
  • [보안뉴스]강원도, 도내 18개 시군 통합 사이버 보안관제 체계 만든다
레부긔
레부긔
코딩이 싫은 거북이레부긔 님의 블로그입니다.
  • 레부긔
    코딩이 싫은 거북이
    레부긔
  • 전체
    오늘
    어제
    • 분류 전체보기 (321) N
      • 인프라 취약점 진단 (0)
      • 웹 취약점 진단 (2)
        • BWAPP (1)
        • DVWA (1)
      • DevOps 통합 (4)
        • NAS_NextCloud (3)
        • Cuckoo Sandbox (0)
      • API 관련 (0)
      • 보안이슈 (310) N
      • CVE (4) N
  • 인기 글

  • 250x250
    반응형
  • hELLO· Designed By정상우.v4.10.3
레부긔
[보안뉴스]중국 해커 그룹, 구글 캘린더 이벤트 이용해 해킹 공격

개인정보

  • 티스토리 홈
  • 포럼
  • 로그인
상단으로

티스토리툴바

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.