도박과 게임 산업 집중적으로 노리는 공격 단체...새로운 사이드로딩 기법 활용

요약 : 보안 외신 해커뉴스에 의하면 드래곤브레스(DragonBreath)라는 APT 그룹이 DLL 사이드로딩(DLL sideloading)이라는 공격 전략을 새롭게 가다듬어 도박 산업을 공략 중에 있다고 한다. 먼저는 정상적인 앱을 통해 DLL 사이드로딩을 시작하고, 이를 통해 두 번째 정상 앱을 피해자의 시스템에 설치한다. 두 번째 정상 앱은 설치 후 자동으로 실행도 된다. 그러면서 또 다시 사이드로딩이 시작되는데, 이번에는 악성 DLL이 다운로드 된다. 이 DLL은 최종 악성 페이로드를 설치하고 실행한다.


배경 : 드래곤브레스는 APT-Q-27이나 골든아이(Golden Eye)라고 불리는 단체다. 2020년 처음 발견됐으며, 주로 텔레그램 메신저 앱의 설치파일을 감염시키는 방법으로 사람들을 현혹하고 있다. 미우티그룹(Miuuti Group)이라는 거대 해킹 그룹의 하위 조직이라는 소리도 있다. 게임과 도박 산업이 이들의 가장 큰 표적이다.

말말말 : “2010년 처음 발견된 DLL 사이드로딩 기법은 현재 모든 플랫폼에서 널리 발견되는 중입니다. 공격자들 사이에서 꽤나 인기가 높고 효과도 좋습니다.” -소포스(Sophos)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>