6개월 동안 잠잠했다가 다시 나타난 해킹 그룹...수법이 훨씬 발전해

요약 : 보안 외신 해커뉴스에 의하면 중국 해킹 그룹 어스롱자이(Earth Longzhi)가 6개월 동안 잠잠했다가 다시 출현했다고 한다. 이전과 마찬가지로 대만, 태국, 필리핀, 피지 등의 정부, 의료, 기술, 생산 시설들을 노리고 멀웨어를 유포하는 중이다. 하지만 유포 전략 자체는 훨씬 복잡해졌다. 윈도 디펜더 실행파일을 통해 DLL 사이드로딩 공격을 하면서 동시에 zamguard.sys라는 드라이버의 취약점을 익스플로잇 해서 보안 제품들을 비활성화시키기 시작했다. 탐지를 보다 효과적으로 피해갈 수 있는 전략을 들고 나타난 것이다.


배경 : 어스롱자이는 윈티(Winnti)라고 알려져 있는 악명 높은 중국 해킹 단체의 하위 그룹인 것으로 추정된다. 2022년 11월 보안 업체 트렌드마이크로(Trend Micro)가 처음으로 이들의 존재를 드러내는 보고서를 발표했다. 주로 인터넷에 연결된 애플리케이션들의 취약점을 익스플로잇 하는 수법으로 피해자를 공략하는 그룹으로 분석됐었다.

말말말 : “어스롱자이는 계속해서 스스로를 발전시키는 것으로 보입니다. 이것이 공격자들의 특성 중 가장 위협적으로 작용하는 것임을 기억해야 합니다.” -트렌드마이크로-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>