728x90
반응형
뉴스 요약
중국 정부 지원을 받는 해커 그룹이 Google Calendar 이벤트를 악용하여 데이터 탈취를 위한 C2(Command and Control) 허브로 활용하는 공격이 발견되었습니다. 감염된 정부 기관 웹페이지를 통해 멀웨어를 유포하고, 이 멀웨어가 생성한 Google Calendar 이벤트에 악성 명령어나 탈취한 데이터를 숨기는 방식입니다.
핵심 포인트
- 중국 정부 지원 해커 그룹의 새로운 공격 방식 발견
- Google Calendar 이벤트를 C2 허브로 악용
- 감염된 정부 기관 웹페이지를 통한 멀웨어 유포
- 탈취한 데이터 또는 악성 명령어를 Google Calendar 이벤트에 저장
기술 세부 내용
1️⃣ C2 (Command and Control) Infrastructure
- C2 서버는 공격자가 감염된 시스템(좀비 시스템)을 원격으로 제어하는 데 사용되는 중앙 허브입니다. ️
- 공격자는 C2 서버를 통해 좀비 시스템에 명령을 내리고, 데이터를 유출하며, 추가적인 악성 활동을 수행할 수 있습니다.
- 이번 공격에서는 Google Calendar 이벤트가 C2 서버와 좀비 시스템 간의 통신 채널로 악용되었습니다. ️
- 기존 C2 서버와 달리 Google Calendar는 합법적인 서비스이기 때문에 탐지가 어렵다는 장점이 있습니다.
- 이러한 기법을 "Living off the Land" (LotL) 공격이라고 하며, 시스템에 이미 존재하는 도구와 서비스를 악용하여 공격을 수행하는 것을 의미합니다. ️
2️⃣ 멀웨어 유포 방식
- 공격자는 감염된 정부 기관 웹페이지를 통해 멀웨어를 유포했습니다.
- 사용자가 해당 웹페이지에 접속하면 멀웨어가 자동으로 다운로드 및 실행될 수 있습니다.
- 이러한 공격 방식은 Watering Hole Attack으로, 특정 집단이 자주 방문하는 웹사이트를 감염시켜 공격하는 기법입니다.
- 정부 기관 웹사이트는 일반적으로 신뢰도가 높기 때문에 사용자들이 의심 없이 접속할 가능성이 높아 공격에 효과적입니다. ️
3️⃣ Google Calendar 악용 방식
- 멀웨어에 감염된 시스템은 공격자가 제어하는 Google 계정을 통해 Calendar 이벤트를 생성합니다.
- 이벤트 제목, 내용, 시간 등에 악성 명령어 또는 탈취한 데이터를 암호화하여 숨깁니다.
- 좀비 시스템은 주기적으로 Google Calendar 이벤트를 확인하고, 새로운 이벤트가 있으면 내용을 해독하여 악성 명령을 실행하거나 탈취한 데이터를 전송합니다.
- Google Calendar는 정상적인 서비스이기 때문에 이러한 통신은 일반적인 트래픽처럼 보여 탐지가 어렵습니다. ️♂️
4️⃣ 데이터 탈취
- 멀웨어는 감염된 시스템에서 중요한 데이터를 탈취할 수 있습니다.
- 탈취한 데이터는 암호화되어 Google Calendar 이벤트에 저장되거나, 다른 C2 서버로 전송될 수 있습니다.
- 공격자는 이렇게 탈취한 데이터를 활용하여 금전적 이득을 취하거나, 추가적인 공격을 수행할 수 있습니다.
출처: http://www.boannews.com/media/view.asp?idx=137486&kind=&sub_kind=
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
[데일리시큐]커넥트와이즈, 스크린커넥트 클라우드 인스턴스 해킹당해…국가 배후 해커그룹 소행 (0) | 2025.05.31 |
---|---|
[데일리시큐][크래프톤 특별기고] 게임회사에서의 개인정보보호 실무 (0) | 2025.05.31 |
[데일리시큐]한국핀테크산업협회, 주요 5개 로펌과 핀테크 업계 AML 규제 대응 본격화 (0) | 2025.05.30 |
[보안뉴스]강원도, 도내 18개 시군 통합 사이버 보안관제 체계 만든다 (0) | 2025.05.30 |
[보안뉴스]해외 기업, 우리 국민 개인정보 보호 외면 안 돼...국내대리인 요건 구체화 (0) | 2025.05.30 |