Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Air India, 두 번째 사이버 공격의 배후로 중국의 해커들이 지목되다.
작성일 2021-06-15 조회 86

지난달 Air India는 대규모의 데이터 침해가 발생해 해킹 피해를 입은 바 있다. 그런데 보안 연구원들의 조사에 따르면 이후에도 3개월 가량의 지속된 사이버 공격을 당한것으로 보인다는 분석 보고서를 발표했다. 이번 공격의 배후로 지목된 그룹은 중국에서 활동중인 APT41인 것으로 보고있다. APT41 는 Winnti Umbrella, Axiom, Barium 로도 알려져 있으며 정보탈취, 첩보 활동을 중심으로 한 캠페인을 주로 수행하고 있으며 국가 차원에서 활동하고 있다.

 


[그림1. Air India 데이터 유출 관련 관계도]

 


[그림2. 해킹 피해 타임라인]

 

 

 

보안 업체 Group-IB 는 "2021년 2월 중순, 자사 제품의 위협 인텔리전스 시스템이 Air India 네트워크에서 일부 감염된 장치를 탐지했다. 해당 장치는 모의 해킹 도구로 알려져 있는 Cobalt Strike의 서버와 통신중인 것으로 확인됬다." 고 언급했다.

 


[그림3. Cobalt Strike 서버와 연결]

 

 

 

C2 서버와 통신을 시작한 시스템은 네트워크 정보를 수집하기 시작했으며 크레덴셜을 도난하기 위해 Hashdump, mimikatz 와 같은 도구를 사용한 것으로 보고있다. 보고서에 따르면 Air India 네트워크 중 최소 20개의 시스템이 추가적으로 감염됬다고 밝혔다.

 


[그림4. 네트워크 정보 수집]

 

 

 

Group-IB는 해킹된 시스템과의 통신을 수행하기 위해 사용된 C2 서버 도메인 이름을 기반으로 이번 공격의 캠페인 명을 "ColunmTK"로 명명 했으며 Air India에서 사용했던 항공 시스템 제품인 SITAPSS에서 시작된 공급망 공격일 수 있다고 주장했다. SITA는 "Air India에서 발생한 사이버공격이 SITA와는 연관성이 없다는 것을 조사를 통해서 입증했다." 고 했지만, 연구원들은 "분석에 따르면 초기 공격 벡터가 아직 불분명 하지만 이번 공격의 최초 감염 발생지가 SITA 시스템인 것을 감안 했을 때 연관성이 아주 없다고는 할 수 없다." 고 밝혔다.

 

출처

 

https://blog.group-ib.com/colunmtk_apt41

 

https://thehackernews.com/2021/06/chinese-hackers-believed-to-be-behind.html

첨부파일 첨부파일이 없습니다.
태그 Air India  APT41