보안 이슈 15 | 사이버 스파이 금전 목적 공격 및 랜섬웨어 배포

기사 출처 :  https://www.datanet.co.kr/news/articleView.html?idxno=195370

“사이버 스파이·금전 목적 공격 동시 수행하는 중국 공격자” - 데이터넷

 

요약

중국 정부가 후원하는 스파이 그룹 'APT41'이 금전 목적의 공격 및 랜섬위어 배포를 시도하였다.
맨디언트가 닷지박스(DodgBox)라는 새로운 로더를 발견했다.

 

추가 설명

 

웹셀을 조합해 더스트팬(DUSTPAN)을 실행 & C2 통신을 위한 비콘 백도어 실행
↓
백도어를 이용해 추가 악성페이로드가 다운로드된다.
↓
오라클 데이터베이스에서 데이터를 유출한 후 원드라이브로 전송하여 외부로 빼낸다

 

 

닷지박스(DodgBox)
APT41이 사용하는 멀웨어 스텔스벡터(Stealth Vector)의 업그레이드 버전으로
콜 스택 스푸핑, DLL사이드로딩, DLL 호로잉 및 환경 가드레일 등 다양한 회피 기술을 갖고 있다.