요약 : 보안 블로그 시큐리티어페어즈에 의하면 중국의 APT 조직인 스톰뱀부(StormBamboo)가 인터넷 서비스 제공업체(ISP)들을 공략하여 멀웨어를 퍼트리고 있다고 한다. 아직 어떤 회사들이 침해됐는지는 명확하게 공개되지 않고 있으며, 보안 업체 볼렉시티(Volexity)가 개별적으로 연락하여 조치를 취하는 중이라고 한다. 공격자들은 소프트웨어 업데이트 과정에 개입하여 자신들이 퍼트리고자 하는 멀웨어를 유포하고 있다고 하며, 맥OS와 윈도 기반 시스템 모두가 공격 대상이 되고 있다고 한다. 주로 퍼지고 있는 건 맥마(MACMA)와 포코스틱(POCOSTICK)이라고 하는 멀웨어들이다.


배경 : 스톰뱀부는 이베이시브판다(Evasive Panda), 대거플라이(Daggerfly), 스톰클라우드(StormCloud)라는 이름 등으로 불리기도 하며, 최소 10년 이상 중국 정부를 위해 활동해 온 그룹이다. 2023년에는 아프리카의 한 통신사를 침해하기도 했었다. 통신사를 통해 정찰 공격을 실시하는 게 이들의 주요 수법이다.

말말말 : “어떤 경우 스톰뱀부는 DNS 요청을 감염시켜서 멀웨어를 유포하기도 했습니다. 여기에 소프트웨어 업데이트 과정에 개입하는 전술을 쓰기도 했고요. 인터넷 통신 인프라가 어떻게 구성되어 있고 어떤 식으로 작동하는지를 명확히 이해하고 있는 듯한 모습입니다.” -볼렉시티-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>