최신 보안 동향
백도어를 배포하는 EastWind 피싱 캠페인 발견
TACHYON & ISARC
2024. 8. 13. 14:15
러시아 사이버 보안 회사인 Kaspersky에 따르면 최근 러시아 정부와 IT 기관을 표적으로 하는 EastWind라는 코드명의 스피어 피싱 캠페인을 발견했다고 보고했다.
공격은 Windows 바로가기(LNK) 파일을 포함하는 RAR 압축 첨부 파일을 사용하며, 사용자가 해당 파일을 열면 악성 백도어가 배포된다. 이때 배포되는 백도어에는 GrewApacha와 CloudSorcerer 백도어의 업데이트 버전, 그리고 이전에 문서화되지 않은 PlugY라는 맬웨어가 포함된다. 그 중 GrewApacha는 공격자가 제어하는 GitHub 프로필을 통해 C&C 서버와 통신한다는 특징이 있다. 또한, CloudSorcerer는 클라우드 인프라를 통해 사용자 장치 모니터링, 데이터 수집 및 유출에 사용되며, PlugY는 셸 명령을 실행하고, 클립보드 내용 캡처 및 키 입력 등의 공격을 수행한다고 전했다.
Kaspersky는 PlugY의 소스 코드 분석을 통해 중국 관련 해커 그룹인 APT27과 APT41이 사용하던 DRBControl 백도어와 유사점이 있다고 언급했다.
사진 출처 : Kaspersky
출처
[1] Kaspersky (2024.08.08) – Кампания EastWind: новые атаки CloudSorcerer на госорганизации в России
https://securelist.ru/eastwind-apt-campaign/110020/