APT 단체인 앤트라이언, 엑스팩이라는 백도어로 대만 조직들 공격

요약 : 앤트라이언(Antlion)이라고 이름 붙여진 중국의 APT 단체가 수개월 동안 들키지 않은 상태로 공격을 진행했다는 사실이 발견됐다. 그 비결은 자신들이 직접 만든 ‘커스텀 백도어’라고 한다. 이 백도어의 이름은 엑스팩(xPack)이라고 하며, 주로 금융 기관들과 제조업 단체들에 설치된 것으로 밝혀졌다. 최소 18개월이나 은밀한 공격이 진행되었으며, 피해는 주로 대만 쪽에 집중된 것으로 보인다.


배경 : 엑스팩은 피해자의 시스템에 설치된 다음, 공격자에게 상당한 범위의 제어 권한을 제공한다. WMI 명령어를 실행할 수 있도록 해 주며, SMB를 통해 데이터를 C&C로 전송한다. 한 피해자 네트워크에서는 엑스팩이 250일이나 탐지되지 않은 채 악성 행위를 하기도 했다.

말말말 : “공격자들은 이터널블루(EternalBlue) 익스플로잇도 공격에 활용한 것으로 보입니다. 하지만 아직 최초 침투 방법은 밝혀지지 않았습니다.” -시만텍(Symantec)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>