중국 해커 그룹, 글로벌 보안기업 포함 전 세계 70개 조직 사이버공격 시도...한국 보안기업들도 주의 외 1건

요약	- SentinelOne, 전 세계 70여 개 조직이 중국 연계 해킹 조직의 표적이 됐다고 발표 - 사이버보안 기업도 주요 타깃으로, 업계 전반 위협 심각
내용	- SentinelLabs (SentinelOne 산하 위협분석 조직) > 전 세계 70여 개 조직이 중국 연계 해킹 조직의 표적이 됐다고 발표 > 24.06 ~ 25.03까지 두 차례에 걸쳐 공격이 발생 ① 퍼플헤이즈(PurpleHaze) 캠페인 > APT15와 UNC5174로 추정되는 해킹 조직이 주도 > 24.10 SentinelOne의 인터넷에 노출된 서버를 대상으로 443 포트를 스캔하며 정찰 > entinelxdr[.]us, secmailbox[.]us와 같은 위장 도메인을 등록해 센티넬원 인프라로 위장 > Ivanti 장비의 제로데이 취약점을 통해 GOREshell 백도어를 심는 방식이 활용 ② 섀도우패드(ShadowPad) 캠페인 > 중국 국적의 APT41이 주도 > 24.06 ~ 25.03까지 진행 > 센티넬원의 하드웨어 유통을 맡고 있는 IT 서비스·물류 기업을 타깃으로 삼아 공급망 침투 시도 > PowerShell 스크립트를 통해 ShadowPad 악성코드를 배포 (샌드박스 탐지 우회를 위해 60초 지연 실행과 30분 후 자동 재부팅 명령이 포함) > 오픈소스 원격 액세스 도구 Nimbo-C2를 활용해 화면 캡처, PowerShell 명령 실행, 파일 작업, UAC 우회 등 다양한 기능을 수행할 수 있도록 구성 > 민감한 사용자 문서를 찾고, 이를 7-Zip 암호 압축 파일로 만든 뒤 외부로 유출하는 PowerShell 기반 데이터 탈취 스크립트도 함께 활용 - 공격자가 보안기업 Check Point 게이트웨이 장비의 취약점을 통해 최초 접근에 성공했을 가능성이 높다고 분석 > Fortinet Fortigate, Microsoft IIS, SonicWall, CrushFTP 등 다양한 시스템에서도 ShadowPad C2 서버로의 통신이 확인 (해당 장비 또한 악용됐을 가능성 존재) - 시사점 > 보안 기업 또한 공격 대상으로 삼고 있음 > 공급망을 통한 우회 침투와 보안 기업 탐지 기술 분석을 통한 회피 전략 마련 등 다층적 목표를 가진 위협 행위
기타	- 중국의 정교한 사이버 첩보 전략이 지속되고 있다는 증거 > 오랜 시간에 걸친 사전 정찰, 엣지 장비 침투, 맞춤형 악성코드 배포 등은 전형적인 국가 지원형 공격의 특징 - 단순 방어보다 공급망 리스크 사전 통제, 다층적 탐지 및 대응 체계를 갖추는 것이 필수 > IOC 공유와 실시간 위협 정보 교환, 정기적 시나리오 기반 대응 훈련 필요 > 국가 차원에서는 보안 수준 미비 벤더에 대한 감사와 국제적 제재 등 정책적 조치도 함께 마련되어야 함

 

보안뉴스

중국 해커 그룹, 글로벌 보안기업 포함 전 세계 70개 조직 사이버공격 시도...한국 보안기업들도

Follow the Smoke | China-nexus Threat Actors Hammer At the Doors of Top Tier Targets