수년 째 각종 백도어와 멀웨어 사용해 아시아의 조직들 공격해 온 APT

요약 : 보안 외신 시큐리티위크에 의하면 랜스플라이(Lancefly)라는 이름의 APT 그룹이 동남아시아 국가들의 정부 기관과 기업들을 수년 째 공격해 오고 있음이 밝혀졌다고 한다. 최소 2020년부터 이러한 활동을 시작했다고 보안 업체 시만텍(Symantec)은 보고 있으며, 2021년까지는 통신과 기술 분야를 주로 노렸으나 2022년에는 항공, 교육, 통신 분야에 좀 더 집중하는 모습을 보이고 있다고 한다. 고도의 표적 공격을 실시하고 있으며 머도어(Merdoor)라는 백도어를 즐겨 사용한다고 한다.


배경 : 현재까지 분석된 바 랜스플라이는 수년 간 진행된 캠페인을 통해 주로 크리덴셜을 훔쳤다고 한다. 또한 고도의 표적 공격이므로 상황에 따라 공격 도구를 자주 바꾸기도 했다. 머도어도 자주 사용됐지만 그 외에 임패킷 아텍섹(Impacket Atexec), 윈라(WinRAR), 라스덤퍼(LASS Dumper), NBT스캔(NBTScan), 블랙로더(Blackloader), 피알씨로더(Prcloader) 등도 사용된 흔적이 발견됐다.

말말말 : “머도어 자체는 2018년부터 등장한 멀웨어이며 여러 다른 해킹 단체들도 활용해 왔습니다. 현재 랜스플라이의 정체를 특정 지을 만한 정보는 부족합니다.” -시만텍-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>