Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향사이버 범죄조직 Naikon, 새로운 백도어로 군사조직을 노린다.
작성일 2021-04-29 조회 1518

중국어를 사용하는 해킹 그룹이 약 2년에 걸쳐 여러 사이버 스파이 활동을 위한 백도어를 배치하고 동남아시아의 군사 조직을 노리고 있다. 이 그룹은 Naikon으로 알려져 있으며 최소 2010년부터 10년동안 필리핀, 말레이시아, 인도네시아 등 남중국해 주변 국가의 조직을 감시해 왔다. 이들은 주로 정부 기관과 군사 단체들을 노리고 있어 중국 국가 주도로 활동하는 해킹 그룹일 가능성이 높은것으로 보고있다.

 

비트디펜더의 연구원들은 보고서를 통해 Naikon은 공격 기간 동안 정상적인 소프트웨어를 악용해 Nebulae 악성코드를 실행시키는 것을 발견했다고 밝혔다. Nebulae 악성코드 감염시 시스템 정보, 파일 조작, 추가 파일 다운로드 등의 기능을 제공하게 된다. 

 


[그림1. Nebulae 실행 과정]

 

 

 

Naikon은 Nebulae 악성코드 외에도 RainyDay를 유포하기도 했다. RainDay 또한 피해자 PC의 정찰, 데이터 탈취, PC 제어 등 여러 악성행위를 수행할 수 있는 정찰형 악성코드라고 볼 수 있다.

 


[그림2. 악성코드 흐름도]

 

 

 

비트디펜더는 "Naikon이 2019년 6월부터 ~ 2021 3월까지의 공격을 분석해본 결과, 이들은 DLL Hijacking 취약점을 이용해 자신들의 악성코드를 사이드 로딩되도록 했다." 고 전했으며 사용된 정상 소프트웨어는 다음과 같다. 

 

  - Sandboxie COM Services (BITS) (SANDBOXIE L.T.D)

  - Outlook Item Finder (Microsoft Corporation)

  - VirusScan On-Demand Scan Task Properties (McAfee, Inc.)

  - Mobile Popup Application (Quick Heal Technologies (P) Ltd.)

  - ARO 2012 Tutorial

 

또한 이번 공격의 분석을 통해 악성코드가 과거 Aria-Body Loader계열에 속한 유사한 페이로드를 발견해 이들의 정체를 알 수 있었다고 전했다.

 

출처:

 

https://www.bleepingcomputer.com/news/security/cyberspies-target-military-organizations-with-new-nebulae-backdoor/

 

https://labs.bitdefender.com/2021/04/new-nebulae-backdoor-linked-with-the-naikon-group/

첨부파일 첨부파일이 없습니다.
태그 Naikon