Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향중국 해킹 그룹, 승객예약정보 탈취
작성일 2021-01-21 조회 75

중국의 한 해킹 그룹은 승객 데이터를 탈취하기 위해 항공 산업을 공격했다. 해당 그룹은 Chimera라는 이름의 위협 행위자와 연결되어 있다.

 

Chimera은 2020년 CyCraft의 보고서와 Black Hat에서 처음 설명되었으며, 최초 보고서는 대만 초전도체 산업에 대한 합동 공격에서 언급되었다.

 

그러나 지난주 NCC 그룹과 자회사 인 Fox-IT가 발표 한 새로운 보고서에서 두 회사는 그룹의 침입이 처음 생각했던 것보다 광범위하며 항공 산업도 타깃으로 했다고 말했다.

 

2019년 10월부터 2020년 4월까지 수행된 다양한 사고 대응 활동에서 위협 행위자를 관찰했으며, 이러한 공격은 아시아뿐만 아니라 다른 지역에서의 반도체와 항공회사들을 겨냥했다고 NCC와 폭스 IT는 말했다.

 

반도체 산업에 대한 공격은 지식재산권(IP) 도용을 목표로한 반면, 항공 산업에 대한 공격은 승객예약정보(PNR)에 초점을 둔것으로 보인다.

 

PNR 데이터를 얻는 방법은 피해자마다 다를 수 있지만, 항공편 예약 서버와 같이 이러한 데이터가 일반적으로 처리되는 시스템의 메모리에서 PNR 데이터를 지속적으로 검색하는 데 사용되는 여러 사용자 지정 DLL 파일의 사용이 관찰됐다.

 

NCC와 Fox-IT의 공동 보고서는 Chimera 그룹의 일반적인 운영 방식에 대해서도 설명하며, 일반적으로 다른 회사의 데이터 유출 후 공개 도메인에서 유출된 사용자 로그인 자격 증명을 수집하는 것으로 시작된다.

 

이 데이터는 인증 정보 입력 또는 이메일 계정과 같은 대상의 직원 서비스에 대한 암호 스프레이 공격에 사용된다. 로그인에 성공하며, Chimera 운영자는 Citrix 시스템 및 VPN 어플라이언스와 같은 기업 시스템의 로그인 세부 정보를 검색한다.

 

내부 네트워크에 들어가면 공격자는 침투 테스트 프레임워크인 Cobalt Strike를 사용하여 IP와 승객 세부 정보를 검색하면서 가능한 많은 시스템으로 이동한다.

 

그리고 공격자는 데이터를 발견하고 수집한 뒤, OneDrive, Dropbox, Google Drive에 업로드한다. 이러한 서비스에 대한 트래픽은 검사되거나 차단되지 않기 때문이다.

 

NCC와 Fox-IT 보고서는 해커가 항공 산업을 표적으로 삼은 이유와 승객 데이터를 훔친 이유를 추측하지 않았지만, 이것은 매우 분명합니다.

 

국가가 후원하는 해킹 그룹이 항공사, 호텔 체인 및 통신사를 표적으로 삼아 관심있는 사람의 움직임과 커뮤니케이션을 추적하는 데 사용할 수있는 데이터를 얻는 것은 매우 일반적이다.

 

과거의 예로는 SMS 메시지를 훔칠 수있는 특수 악성 코드로 통신사를 표적으로 삼은 중국 그룹 APT41이 있다. 통신사를 타깃으로 한 또 다른 중국 그룹 APT10(Gallium)도 있다.

 

이러한 유형의 공격에 관여하는 것은 중국만이 아니다.

 

이란 그룹 APT39는 이란 반체제 인사들을 추적하기 위한 목적으로 통신사 및 여행사를 타깃으로 했으며, 또 다른 이란 그룹은 통남아시아 전역의 여러 통신사 해킹과 연계되어 있다.

 

그리고 벨기에 통신사 Belgacom을 타깃으로 한 Operation Socialist의 배후에는 영국이 있는 것으로 분석됐다

 

출처

https://www.zdnet.com/article/a-chinese-hacking-group-is-stealing-airline-passenger-details/

https://blog.fox-it.com/2021/01/12/abusing-cloud-services-to-fly-under-the-radar/

첨부파일 첨부파일이 없습니다.
태그 Chimera  PNR