요약 : 보안 외신 해커뉴스에 의하면 중국의 해커들이 대만과 미국의 NGO들을 노리고 있다고 한다. 이번 캠페인에서 눈에 띄는 건 엠지봇(MgBot)이라는 멀웨어가 사용된다는 것으로, 배후에는 대거플라이(Daggerfly)라는 해킹 그룹이 존재하는 것으로 알려져 있다. 아파치 HTTP 서버의 취약점을 익스플로잇 해서 엠비봇 멀웨어를 유포하는 것으로 현재까지는 분석되고 있다. 대거플라이는 이전에도 엠지봇을 곧잘 사용해 왔었다. 이번 캠페인의 목적은 주로 피해자 조직으로부터 첩보를 수집하는 것으로 보인다. 엠지봇은 모듈 구성이라 필요에 따라 임의 명령 실행도 가능하지만 아직까지는 그런 식으로 활용되지는 않고 있다.


배경 : 대거플라이는 최소 2012년부터 활동을 시작해 온 해킹 그룹이다. 피해자를 감시하고 정보를 캐내다가 들키기라도 하면 얼른 자신들의 공격 도구를 바꾼다던가 업그레이드 하는 식으로 대응한다. 엠지봇의 경우 맥OS에서도 작동하는 버전이 있는데, 이 변종의 경우 이름이 맥마(MACMA)이다. 맥마는 2021년에 처음 홍콩에서 발견됐다.

말말말 : “대거플라이는 자신들의 공격을 어떤 플랫폼에서든 실시할 수 있는 능력을 갖추고 있습니다. 대단히 유연하며, 공격 능력이 고도로 발전되어 있는 위협으로 분류해야 합니다.” -시만텍(Symantec)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>