Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향APT32는 베트남 인권 옹호자를 타깃으로 스파이웨어 공격 시행
작성일 2021-02-25 조회 24

베트남과 연계된 APT32(aka Ocean Lotus) 그룹은 2018년 2월부터 2020년 11월까지 베트남 인권 옹호자(HRD)와 비영리(NPO) 인권 단체 등을 대상으로 사이버 스파이 활동을 했다.

 

"Amnesty Tech의 Security Lab은 독일에 거주하는 베트남 유명 인권 옹호자 2명과 필리핀 소재 베트남 NGO에게 보낸 피싱 이메일에서 기술적 증거를 발견해 오션 로터스가 2018~2020년 11월 공격을 책임지고 있음을 보여줬다"라고 Amnesty International이 게시한 게시물을 읽는다.

 

APT32 그룹은 최소한 2012 년부터 활동해 왔으며 여러 산업 및 외국 정부, 반체제 인사 및 언론인을 대상으로 하는 조직을 표적으로 삼았다.

 

FireEye의 전문가들은 최소한 2014 년부터 베트남의 제조, 소비재, 환대 사업에 관심을 두고 외국 기업을 표적으로 하는 것을 관찰했다. APT32는 또한 주변 네트워크 보안 및 기술 인프라 기업, 그리고 외국인 투자자와 연계될 수 있는 보안 회사들을 대상으로 했다.

 

Amnesty Tech 연구원인 Likhita Banerji은 "Ocean Lotus의 이번 공격은 국내외에서 베트남 운동가들이 인권을 옹호하는 데 직면하고 있는 탄압을 강조하고 있다"고 말했다. "이러한 불법 감시는 사생활의 권리를 침해하고 표현의 자유를 억압한다."

 

“베트남 정부는 독립적인 조사를 해야 한다. 이를 거부하는 것은 정부가 Ocean Lotus 공격에 연루되어 있다는 의혹을 증가시킬 뿐이다.”

 

공격 체인은 다운로드할 중요한 문서에 대한 링크가 포함된 스피어 피싱 메시지로 시작된다. 링크는 Mac OS 또는 Windows 시스템을 모두 감염시킬 수 있는 스파이웨어가 포함된 파일을 가리킨다.

 

이 캠페인에 사용된 Windows 스파이웨어는 과거에 Ocean Lotus 그룹에 의해 독점적으로 사용되었던 Kerrdown으로 추적된 악성 프로그램의 한 종류이다. Kerrdown은 공격 대상자의 시스템에 있는 서버에서 추가 스파이웨어를 다운로드하여 설치한 다음 유인 문서를 연다.

 

공격자는 Cobalt Strike 사후 공격 툴킷을 사용하여 손상된 시스템에 액세스한다.

 

[그림 1. 수신된 전자 메일 중 하나에서 Windows 스파이웨어 감염 체인의 예]

 

Amnesty International는 "Amnesty International가 Ocean Lotus와 CyberOne를 베트남 당국과의 직접적인 연관성을 독자적으로 확인할 수는 없지만, 이번 조사에서 설명된 공격은 베트남 개인과 조직을 겨냥한 패턴을 확인시켜준다."고 결론 내렸다. “베트남의 온라인 표현은 비판적인 목소리에 대한 광범위한 단속의 일환으로 점점 더 범죄화되고 있습니다. 활동가들은 국제 인권 기준을 준수하지 않는 모호하고 광범위한 법률에 근거하여 투옥, 괴롭힘, 공격을 받고 침묵으로 검열된다.”

 

출처

https://securityaffairs.co/wordpress/114973/malware/apt32-spyware-human-rights-defenders.html

https://www.amnestyusa.org/wp-content/uploads/2021/02/Click-and-Bait_Vietnamese-Human-Rights-Defenders-Targeted-with-Spyware-Attacks.pdf

첨부파일 첨부파일이 없습니다.
태그 APT32  Ocean Lotus  HRD  Kerrdown