레드팀 오픈소스 활용하는 중국의 APT41, 대만 매체가 공격 대상

요약 : 보안 블로그 시큐리티어페어즈에 의하면 중국의 APT 단체인 APT41이 오픈소스 도구를 활용해 대만 매체들을 공격하는 중이라고 한다. 이들이 사용하는 오픈소스 도구는 GC2로, 레드팀들을 위해 개발된 소프트웨어다. 공격을 받고 있는 대만 매체들의 이름은 아직 공개되지 않고 있다. GC2는 피해자 시스템에 설치된 후 구글 시트(Google Sheets)를 통해 공격자의 명령을 받아 실행한다. 파일을 추가로 받아 설치해야 할 경우에는 구글 드라이브를 활용한다. APT41은 2022년 7월 똑같은 방법으로 이탈리아 웹사이트 하나를 공략하기도 했었다.


배경 : APT41은 윈티(Winnti), 액시엄(Axiom), 바륨(Barium), 블랙플라이(Blackfly), 후두(HOODOO)라고도 불린다. 최소 2007년부터 활동을 해 왔으며 중국 정부를 위해 여러 가지 정보를 탈취하는 것으로 알려져 있다. 현재 미국 진영과 중국 진영이 현재 가장 첨예하게 다투고 있는 곳은 대만이며, 따라서 대만에서 각종 사이버 공격 시도가 발견된다 하더라도 이상할 것은 없다.

말말말 : “공격자들에게 있어 클라우드 서비스는 매우 유용합니다. C&C를 보다 편리하게 운영할 수 있기도 하거니와, 클라우드 업체의 신뢰도가 높아 보안 엔진에 잘 걸리지 않기 때문입니다.” -구글 위협 분석 그룹-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>