기사 한줄요약(22.5.13.):
보안 업체 크라우드스트라이크(CrowdStrike)에 따르면, 중국 정부의 지원을 받는 해킹 단체들이 MS 익스체인지 서버에 고급 멀웨어 프레임워크(아이스애플(IceApple))를 최소 지난 가을부터 심고 있다는 사실이 드러났다. 이 악성코드의 크리덴셜 수집, 파일 삭제, 디렉토리 삭제, 데이터 유출 등 다양한 악성 행위를 하고 최종 목적은 첩보 수집이다. 해당 캠페인은 현재도 진행이 되고 있지만 추적이 어렵다고 한다.
[아이스애플(IceApple) 특징]
- 모듈로 구성
- 모듈들은 전부 메모리 내에서만 돌아가 흔적 찾기 어려움 (파일레스 공격)
- 탐지와 분석을 회피하고 방해하는 기능 ; 인터넷 정보 서비스(IIS) 내에 존재하지만 문서화 되지 않은 필드를 활용하는 것
- 파일 엑스필트레이터(File Exfiltrator) 모듈 ; 단일 파일을 호스트에서부터 빼돌리는 기능.
- 멀티파일 엑스필트레이터(Multifile Exfiltrator) 모듈 ; 여러 개의 파일들을 암호화시키고 암축하여 빼돌림.
문가용 기자, 중국과 관련 있어 보이는 해킹 단체, 고급 멀웨어 사용해 정보 수집 중, 보안뉴스, https://m.boannews.com/html/detail.html?idx=106727
중국과 관련 있어 보이는 해킹 단체, 고급 멀웨어 사용해 정보 수집 중
중국 정부의 지원을 받고 있는 것으로 보이는 해킹 단체가 고급 멀웨어 프레임워크를 마이크로소프트 익스체인지 서버들에 심고 있다는 사실이 뒤늦게 드러났다. 기술 업계와 학계, 정부 기관
m.boannews.com
