요약 : 보안 외신 블리핑컴퓨터에 의하면 중국 해킹 그룹들이 러시아 정부 기관과 IT 회사들을 노리고 공격을 실시하는 중이라고 한다. 이 캠페인은 2024년 7월 말부터 시작됐다고 하며, 이미 수십 개의 시스템들이 표적이 된 것으로 보인다. 캠페인의 배후에는 중국의 APT 단체인 APT31과 APT27이 있는 것으로 분석되고 있다. 보안 업체 카스퍼스키(Kaspersky)가 추적하고 있는 이 캠페인의 이름은 이스트윈드(EastWind)이며, 공격의 주무기는 클라우드소서러(Cloudsorcerer)라는 백도어다. 중국의 해커들은 클라우드소서러를 가지고 미국의 싱크탱크들을 공략하기도 했었다.


배경 : 이번 캠페인에 사용되는 백도어는 기존 백도어나 다크웹에서 상용화 되고 있는 백도어와 달라 탐지가 매우 어려운 건 아니지만, 그렇다고 해도 모든 것을 다 잡아내는 것마저 간단한 것은 아니라고 한다. 이 때문에 카스퍼스키는 Users·Public 폴더에 5MB 이상 크기의 DLL 파일이 갑자기 생겼는지, 서명되지 않은 msedgeupdate.dll 이라는 파일이 파일 시스템 내에 있지는 않은지, msiexec.exe라는 프로세스가 실행되고 있는지 확인할 것을 권고하고 있다.

말말말 : “러시아와 중국은 오랜 동맹 관계에 있습니다. 하지만 그렇다고 해서 서로를 겨냥한 사이버 공격이 아예 없어지는 건 아닙니다. 경제와 국방이라는 측면에서 협조하고 있는 두 나라지만, 서로에 대해 더 많은 정보를 가져가야 하는 건 변함이 없습니다. 이러한 복잡한 외교 세계의 현상을 잘 보여주는 게 이번 사건입니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>