지능형 지속적 위협(APT)

APT41

의심 국가: 중국

공격 대상: APT41은 2012년 초부터 14개국 이상의 국가에서 조직들을 직접적으로 표적으로 삼아왔습니다. 이 그룹의 스파이 활동 캠페인은 의료, 통신 및 첨단 부문을 표적으로 하고, 지적 재산을 노리는 활동도 이전부터 관찰되었습니다. 이 그룹의 침해 사이버 범죄는 비디오 게임 업계에서 가장 명확하게 나타나며, 가상 화폐 조작 및 랜섬웨어 배포 시도 등의 형태로 나타납니다. 교육, 여행 서비스 및 뉴스/미디어 회사를 대상으로 한 APT41의 작전은 이 그룹이 개인을 추적하고 감시를 실시하고 있음을 시사합니다.

개요: APT41이 잠재적으로 국가의 통제에서 벗어나 금전적 이익을 얻기 위한 활동과 더불어 중국의 후원하에 스파이 활동을 하는 다목적 사이버 위협 그룹입니다.

관련된 멀웨어: APT41은 최소 46가지 코드 패밀리 및 도구를 사용하는 것으로 관찰되었습니다.

공격 벡터: APT41은 컴파일된 HTML(.chm) 파일과 같은 첨부파일이 있는 스피어피싱 이메일을 주로 사용하여 피해자에게 초기 침투를 시도합니다. 피해 조직에 침투한 후에는 APT41이 보다 정교한 TTP를 활용하고 추가 악성코드를 배포할 수 있습니다. 예를 들어 거의 1년간 지속된 한 침입 공격에서 APT41은 수백 대의 시스템에 침투하여 백도어, 인증 정보 스틸러, 키로거, 루트킷 등 150개에 가까운 고유 멀웨어를 사용했습니다. 또한 APT41은 제한적으로 루트킷 및 마스터 부트 레코드(MBR) 부트킷을 배포하여 악성코드를 숨기고 일부 피해자 시스템에서 지속성을 유지했습니다.

추가 리소스

APT40

의심 국가: 중국

공격 대상: APT40은 '일대일로 전략(BRI)'에 전략적으로 중요한 국가를 주로 표적으로 삼는 중국의 사이버 스파이 그룹입니다. 이 그룹은 글로벌 조직(특히 엔지니어링 및 방산 전문 조직)을 표적으로 하지만 동남아시아 등의 지역 조직체를 대상으로 작전을 실시한 사례도 있습니다. 이 그룹은 적어도 2013년 1월부터 해상 표적, 국방, 항공, 화학, 연구/교육, 정부 및 기술 조직을 비롯한 다양한 부문을 대상으로 사이버 공격을 수행해왔습니다.

개요: APT40의 활동이 중국의 해군을 현대화하려는 계획의 일환으로서 사이버 부문에서 이루어지는 작전이라는 것이 Mandiant Intelligence의 판단입니다. 또한 여러 대학교의 대규모 연구 프로젝트를 표적으로 삼아 해군 장비 및 함선 등의 설계를 입수하려는 움직임도 포착됩니다. 이 그룹의 작전은 정부에서 후원하는 프로젝트를 표적으로 하는 경우가 많으며, 제안서, 회의, 재무 데이터, 배송 정보, 설계도 및 도면, 원시 데이터 등 해당 프로젝트와 관련한 대량의 정보를 탈취합니다.

관련된 멀웨어: APT40은 최소 51가지 코드 패밀리를 사용하는 것이 관찰되었습니다. 그중 37가지는 비공개 코드입니다. 이러한 비공개 도구 중 최소 7개(BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU, WIDETONE)는 중국이 연계된 것으로 의심되는 다른 범죄자도 사용했습니다.

공격 경로: 일반적으로 APT40은 표적이 관심을 가질만한 중요한 사람을 사칭하여 스피어피싱 이메일을 보냅니다. 저널리스트, 업계 전문지 관계자, 관련 군사 조직 또는 NGO(비영리 단체)의 관계자 등을 사칭합니다. 이전에 침해 당한 이메일 주소를 활용해 스피어피싱 이메일을 보낸 사례도 있었습니다.

추가 리소스

APT31

의심 국가: 중국

공격 대상: 정부, 국제 금융 기관, 항공우주 방위 조직뿐 아니라 하이테크, 건설 및 엔지니어링, 통신, 미디어, 보험을 비롯한 여러 산업 분야

개요: APT31은 중국과 관련된 사이버 스파이 범죄자로, 중국 정부와 국유 기업들에게 정치적, 경제적 및 군사적 이익 제공할 수 있는 정보를 얻는 데 초점을 두고 있습니다.

관련된 멀웨어: SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT

공격 경로: APT31은 Java, Adobe Flash와 같은 애플리케이션의 취약점을 악용하여 피해자 환경을 침해했습니다.

APT30

의심 국가: 중국

공격 대상: 동남아시아 국가 연합(ASEAN) 회원국

개요: APT30은 오랫동안 지속적인 활동으로 주목을 받았을 뿐만 아니라 최소한 2005년부터는 동일한 툴, 전술 및 인프라를 유지하기 위해 성공적으로 소스 코드를 수정하고 조정한 것으로도 유명합니다. 증거에 따르면 그룹이 표적의 우선 순위를 정하며, 대개 협력적인 환경에서 교대로 일하면서 일관성 있는 개발 계획에 따라 악성코드를 빌드하는 것으로 보입니다. 이 그룹은 2005년 이후로 에어 갭 적용 네트워크를 감염시키는 기능을 갖추었습니다.

관련된 멀웨어: SHIPSHAPE, SPACESHIP, FLASHFLOOD

공격 경로: APT30은 다운로더, 백도어, 중앙 컨트롤러, 그리고 이동식 드라이브와 교차 에어 갭 적용 네트워크를 감염시켜 데이터를 유출하도록 설계된 몇 가지 컴포넌트가 포함된 툴 세트를 사용합니다. APT30은 대개 악성코드 CnC 활동을 위해 자체 DNS 도메인을 등록합니다.

APT27

의심 국가: 중국

공격 대상: APT27은 북미 및 남미, 유럽, 중동 등 세계 각지에 본사를 둔 여러 조직을 표적으로 삼았습니다. 이러한 조직은 서비스, 하이테크, 정부와 에너지 등 다양한 산업에 속하지만, 항공우주와 운송 산업에 속한 많은 수의 기업들이 눈에 띄게 포함되어 있습니다.

개요: APT27은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

공격 경로: APT27은 일반적으로 스피어피싱을 초기 침해 방법으로 사용합니다. APT27 공격자는 오리지널 제로데이 익스플로잇을 사용하지 않는 것으로 알려져 있지만, 이러한 익스플로잇이 일단 공개되어 사용 가능하게 되면 이를 활용할 수도 있습니다. 최소 한 건의 사례에서 APT27 공격자들은 한 피해자 조직에서 해킹된 계정을 사용하여 유사한 업종의 다른 의도된 피해자들에게 스피어피싱 이메일을 보낸 바 있습니다. 또한 APT27은 초기 거점을 확보하기 위해 취약한 웹 애플리케이션을 침해할 수 있습니다.

APT26

의심 국가: 중국

공격 대상: 항공우주, 방위, 에너지 부문 등

개요: APT26은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

공격 경로: 이 그룹은 공격 표적 네트워크에 대한 액세스를 확보하고 피해자 환경에 침투하면 맞춤형 백도어에 대한 액세스를 얻기 위해 전략적 웹 침해를 자주 사용합니다.

APT25

다른 이름: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

의심 국가: 중국

공격 대상: 미국과 유럽의 방위 산업 기지, 미디어, 금융 서비스 및 운송 부문

개요: APT25는 데이터 유출을 목적으로 한 사이버 공격에 가담합니다.

관련된 멀웨어: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

공격 경로: APT25는 지금까지 악성 첨부 파일과 악성 하이퍼링크를 포함하는 메시지를 비롯하여 스피어피싱을 사용했습니다. APT25 공격자는 일반적으로 제로데이 익스플로잇을 사용하지 않지만, 이러한 익스플로잇이 일단 공개되어 사용 가능하게 되면 이를 활용할 수도 있습니다.

APT24

다른 이름: PittyTiger

의심 국가: 중국

공격 대상: APT24는 정부, 의료, 건설 및 엔지니어링, 광업, 비영리, 통신 산업의 조직을 포함하여 다양한 산업을 표적으로 삼았습니다.

개요: 이 그룹은 미국과 대만을 비롯한 국가에 본사를 둔 조직을 표적으로 삼는 것으로 알려져 있습니다. APT24는 지금까지 네트워크 밖으로 전송하기 전에 유출된 데이터를 암호화하고 압축하기 위해 RAR 아카이브 유틸리티를 사용했습니다. 이 공격자로부터 유출된 데이터는 주로 정치적 중요성을 지닌 문서에 초점을 두었으며, 이는 중국에서 지속되고 있는 영토 또는 주권 분쟁과 관련된 다양한 국가들의 입장을 모니터링하기 위한 의도가 있음을 시사합니다.

관련된 멀웨어: PITTYTIGER, ENFAL, TAIDOOR

공격 경로: APT24는 군사, 재생 에너지 또는 비즈니스 전략 주제를 미끼로 사용한 피싱 이메일을 사용했습니다. 또한 APT26은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

APT23

의심 국가: 중국

공격 대상: 미국 및 필리핀의 미디어와 정부

개요: APT23은 지적 재산 대신에 정치적 및 군사적 중요성을 지닌 정보를 탈취했습니다. 이는 APT23이 보다 전통적인 스파이 작전을 지원하여 데이터 유출을 수행할 수 있음을 시사합니다.

관련된 멀웨어: NONGMIN

공격 경로: APT23은 피해자 네트워크를 침해하기 위해 교육 관련 피싱 미끼를 포함하여 스피어피싱 메시지를 사용했습니다. APT23 공격자는 제로데이 익스플로잇을 사용하는 것으로 알려져 있지 않지만, 이러한 익스플로잇이 공개된 후 사용 가능하게 되어 이를 활용한 적이 있습니다.

APT22

다른 이름: Barista

의심 국가: 중국

공격 대상: 동아시아, 유럽, 미국의 광범위한 정치, 군사 및 경제 조직

개요: APT22는 중국과 연관이 있고, 최소한 2014년부터 활동을 해왔으며 반체제 인사를 비롯하여 공공 및 민간 부문에 대해 침해 및 공격 활동을 수행해왔습니다.

관련된 멀웨어: PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF, LOGJAM

공격 경로: APT22는 전략적 웹 침해를 통해 관심 대상을 표적으로 소극적 공격을 진행했습니다. PT22는 또한 피해자 네트워크에서 취약한 공개 웹 서버를 파악하여 피해자 네트워크에 대한 액세스를 얻기 위해 웹셸을 업로드하였습니다.

APT21

다른 이름: Zhenbao

의심 국가: 중국

대상 부문: 정부 기관

개요: APT21은 미끼 문서에 국가 보안 문제를 담고 있는 전략적 러시아어로 된 전략 문서를 첨부 파일로 활용합니다. 과거 사례로 볼 때, 사회공학적 콘텐츠는 러시아 국가 보안 정보에 대해 액세스에 대한 권한을 취득하기 위한 사이버 스파이 작전을 시사합니다. APT21 기법을 분석한 결과 APT21의 또 다른 표적은 자치권을 넓히거나 중국으로부터의 독립을 추구하는 반체제 단체(예: 티베트나 신장)입니다.

관련된 멀웨어: SOGU, TEMPFUN, Gh0st, TRAVELNET, HOMEUNIX, ZEROTWO

공격 경로: APT21은 악성 첨부 파일, 악성 파일 또는 웹페이지에 대한 링크를 포함하고 있는 스피어피싱 이메일을 활용합니다. 이 그룹은 또한 잠재적 피해자들을 표적으로 삼기 위해 전략적 웹 침해(SWC) 공격을 진행했습니다. APT21은 TRAVELNET 및 TEMPFUN이라고 알려진 두 개의 백도어를 자주 사용합니다. 중요한 것은, APT21은 공개적으로 이용 가능한 툴을 드물게 사용하고 일반적으로 맞춤형 백도어를 주로 사용한다는 것입니다.

APT20

다른 이름: Twivy

의심 국가: 중국

공격 대상: 건설 및 엔지니어링, 의료, 비영리 조직, 방위 산업 기지, 화학 연구 및 생산 기업

개요: APT20은 데이터 유출을 목적으로 한 사이버 공격에 가담합니다. APT20은 지적 재산 유출을 수행하지만 특정 정치적 이해관계가 있는 개인들로부터 데이터를 도용하거나 이들의 활동을 모니터링하는 것에도 관심이 있는 것으로 보입니다. 가용한 데이터를 바탕으로 어느 정도 정부 후원을 받는, 중국에 위치한 프리랜서로 구성된 그룹으로 평가하고 있습니다.

관련된 멀웨어: QIAC, SOGU, Gh0st, ZXSHELL, Poison Ivy, BEACON, HOMEUNIX, STEW

공격 경로: APT20의 전략적 웹 침해 공격은 공격을 시도해 볼 만한 차선 표적 대상 그룹에 대한 인사이트를 제공합니다. APT20의 많은 SWC는 민주주의, 인권, 언론의 자유, 중국 소수 민족 등의 문제를 다루는 웹사이트(중국어로 된 웹사이트 포함)를 대상으로 한 바 있습니다.

APT19

다른 이름: Codoso Team

의심 국가: 중국

공격 대상: 법률 및 투자

개요: 프리랜서로 구성되었을 가능성이 있는 그룹으로, 중국 정부로부터 어느 정도 지원을 받고 있는 것으로 보입니다.

관련된 멀웨어: BEACON, COBALTSTRIKE

공격 경로: 2017년에 APT19는 세 가지 기술을 사용하여 대상에 공격을 시도했습니다. 5월 초에 발생한 피싱 공격에서는 Microsoft Windows 취약점(CVE 2017-0199)을 악용한 RTF 첨부 파일이 미끼로 활용되었습니다. 5월 말에 APT19는 매크로가 활성화된 Microsoft Excel(XLSM) 문서를 사용하는 공격으로 방향을 전환했습니다. 가장 최신 버전의 APT19는 XLSM 문서에 애플리케이션 허용 목록 추가 우회를 추가했습니다. Cobalt Strike 페이로드를 전달한 피싱 공격이 한 건 이상 목격되었습니다.

APT18

다른 이름: Wekby

의심 국가: 중국

공격 대상: 항공우주 및 방위, 건설 및 엔지니어링, 교육, 의료 및 생명공학, 하이테크, 통신 및 운송

개요: 이 그룹에 대해서는 공개적으로 발표된 내용이 거의 없습니다.

관련된 멀웨어: Gh0st RAT

공격 경로: 사전에 계획된 것으로 보이는 공격을 위해 빈번하게 개발되거나 조정된 제로데이 익스플로잇이 발견되었습니다. 이 그룹은 해킹 팀이 유출하는 데이터를 사용했는데 이는 이 그룹이 익스플로잇이 새로 드러날 때와 같이 갑작스런 기회가 나타날 때 역할 분담(즉, 표적 선택, 인프라 준비, 메시지 고안, 툴 업데이트)이 가능한 다양한 리소스를 보유하고 있음을 보여줍니다.

추가 리소스: 블로그 - 속임수 시연, 해킹 팀의 정보 노출 후 중국 APT 그룹이 제로데이 취약점(CVE-2015-5119)을 빠르게 활용

APT17

다른 이름: Tailgator Team, Deputy Dog

의심 국가: 중국

공격 대상: 미국 정부와 국제 법률 회사 및 정보 기술 회사

개요: 표적 조직의 네트워크에 침입합니다.

관련된 멀웨어: BLACKCOFFEE

공격 경로: 이 위협 그룹은 포럼에서 프로필과 게시물을 작성하는 기능을 악용하여 인코딩된 CnC를 내장한 후 사용된 악성코드의 변종과 함께 사용했습니다. 이 기술은 네트워크 보안 전문가가 CnC의 실제 위치를 파악하기가 어렵고 CnC 인프라가 장기간 활성 상태로 유지될 수 있다는 특징이 있습니다.

APT16

의심 국가: 중국

대상 부문: 일본 및 대만의 하이테크, 정부기관, 미디어 및 금융 서비스 산업 조직

개요: 대만의 정치 및 언론 문제에 관심을 갖는 그룹으로, 중국에 근거지를 두고 있습니다.

관련된 멀웨어: IRONHALO, ELMER

공격 경로: 스피어피싱 이메일을 대만의 미디어 조직 및 웹 메일 주소로 발송합니다. 대만 경매 웹사이트 등록 지침과 상품 목록이 포함된 문서를 미끼로 사용합니다.

APT15

의심 국가: 중국

공격 대상: 중국 정부의 이익이 될 만한 무역, 경제 및 금융, 에너지, 군사 조직

개요: APT15는 다수의 유럽 국가, 미국, 남아프리카를 비롯한 여러 지역에 본사를 둔 조직을 표적으로 삼았습니다. APT15 공격자들은 백도어와 인프라를 비롯한 리소스를 다른 중국 APT들과 공유합니다.

관련된 멀웨어: ENFAL, BALDEAGLE, NOISEMAKER, MIRAGE

공격 경로: APT15는 일반적으로 중국 정부에 이익이 되는 다양한 부문의 글로벌 표적에 대한 초기 침해를 위해 잘 개발된 스피어피싱 이메일을 사용합니다. 중요한 점은 APT15는 고유하지 않은 백도어 및 인프라를 사용하여 주범을 찾는 것을 어렵게 만든다는 것입니다.

APT14

의심 국가: 중국

공격 대상: 정부, 통신, 건설 및 엔지니어링

개요: APT14는 데이터 유출이 목표인 사이버 작전에 관여하며, 군사 및 해양 장비, 운영 및 정책에 초점을 둘 가능성이 있습니다. 유출된 데이터 가운데 특히 암호화 및 위성 통신 장비 사양은 신호를 탐지하거나 달리 군사 위성 통신 네트워크를 방해하는 등 군사 작전을 향상시키는 데 사용될 수 있는 것으로 보고 있습니다.

관련된 멀웨어: Gh0st, POISONIVY, CLUBSEAT, GROOVY

공격 경로: APT14 공격자는 제로데이 익스플로잇을 사용하지 않는 편이지만, 이러한 익스플로잇이 공개되면 이를 활용할 수 있습니다. 스피어피싱 메시지를 보내기 위해 맞춤형 SMTP 메일러 툴을 활용할 수 있습니다. APT14 피싱 메시지는 보통 신뢰할 수 있는 조직에서 전송한 것으로 보이도록 작성됩니다.

APT12

다른 이름: Calc Team

의심 국가: 중국

공격 대상: 언론, 정부, 방위 산업 기지

개요: APT12는 중국 인민해방군과 연관된 사이버 스파이 그룹으로 보입니다. APT12의 표적은 중국 인민공화국(PRC)의 목표와 일치합니다. 이 그룹이 지휘한 침입 공격과 캠페인은 중국 인민공화국의 목표 및 대만 내 이해 타산과 밀접하게 연결되어 있습니다.

관련된 멀웨어: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

공격 벡터: Mandiant는 유효하지만 도용된 계정의 피싱 이메일을 통해 APT12가 이러한 익스플로잇 문서를 전달하는 것을 목격했습니다. 지난 APT12 활동을 근거로 볼 때 이 위협 그룹은 계속해서 피싱을 활용하여 악성코드를 전달할 것으로 예상됩니다.

추가 리소스

APT10

다른 이름: Menupass Team

의심 국가: 중국

공격 대상: 미국, 유럽 및 일본의 건설 및 엔지니어링, 항공우주 및 통신 회사와 정부 기관

개요: APT10은 Mandiant가 2009년부터 추적해 온 중국의 사이버 스파이 그룹입니다. 현재까지 미국, 유럽 및 일본의 건설 및 엔지니어링, 항공우주 및 통신 회사와 정부기관을 표적으로 삼아 왔습니다. 유용한 군사 및 인텔리전스 정보를 입수하고 기밀 비즈니스 데이터를 훔쳐 중국 기업을 지원하는 등 중국의 국가 안보 목표를 지원하기 위해 이러한 산업을 표적으로 삼은 것으로 보입니다.

관련된 멀웨어: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

공격 경로: 최근 APT10 활동에는 기존의 스피어피싱과 관리형 서비스 제공업체를 통해 피해자의 네트워크에 액세스하는 기법이 포함되었습니다. (서비스 제공업체를 통한 감염에 대한 자세한 내용은 M-Trends 2016 참조) APT10 스피어피싱은 비교적 간단한 공격 기법으로, 아카이브 내의 .lnk 파일과 확장자가 두 개인 파일(예: [Redacted]_Group_Meeting_Document_20170222_doc_.exe)을 활용하며 경우에 따라 동일한 이름의 미끼 문서 및 동일한 아카이브 내의 악성 런처를 활용하기도 합니다. Mandiant Threat Intelligence는 APT10이 스피어피싱에 더해 글로벌 서비스 제공업체를 통해 피해자에게 접근하는 것 역시 목격했습니다.

추가 리소스

추가 리소스

APT9

의심 국가: 가용한 데이터를 바탕으로 어느 정도 정부 후원을 받는, 중국에 위치한 프리랜서로 구성된 그룹으로 평가하고 있습니다.

공격 대상: 여러 국가에 본사를 두고 의료 및 제약, 건설 및 엔지니어링, 항공우주 및 방위와 같은 산업에 종사하는 조직

개요: APT9는 데이터 유출이 목표로 사이버 공격을 진행하고, 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

공격 경로: APT9는 과거에 제약 및 생명공학 산업에서 매우 활발하게 활동했습니다. 이 공격자는 초기 액세스를 위해 스피어피싱, 유효한 계정뿐만 아니라 원격 서비스를 사용하는 것으로 관찰되었습니다. Mandiant에서는 최소 한 경우, APT9를 생명공학 산업의 기업 2곳에서 관찰하였고 APT9 공격자가 두 기업 간의 신뢰 관계를 악용하여 한 기업에 대한 초기 액세스를 취득했을 수 있다고 의심하고 있습니다. APT9는 공개적으로 이용 가능한 백도어뿐만 아니라, 다수 APT 그룹들이 사용하는 백도어인 맞춤형 백도어를 사용합니다.

APT 8

의심 국가: 중국

공격 대상: 미디어 및 엔터테인먼트, 건설 및 엔지니어링, 항공우주 및 방위 산업을 포함한 광범위한 산업

개요: APT8은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다. APT8은 어느 정도 정부 후원을 받는, 중국에 위치한 프리랜서로 구성된 그룹으로 평가합니다. APT8은 미국, 독일, 영국, 인도와 일본을 포함하여 다수 국가에 본사를 둔 조직을 표적으로 삼았습니다.

관련된 멀웨어: HASH, FLYZAP, GOLFPRO, SAFEPUTT

공격 경로: APT8 공격자는 보통 악성 첨부 파일 또는 링크가 있는 스피어피싱 이메일을 사용하거나 표적 조직을 침해하기 위해 취약한 인터넷 연결 웹서버를 악용합니다. 또한 여러 침해작전에서 APT8 공격자들이 채팅 또는 인스턴트 메시징 프로그램을 사용하여 잠재적 피해자들에게 악성 링크를 보낸 적이 있습니다.

APT 7

의심 국가: 중국

공격 대상: 건설, 엔지니어링, 항공우주, 방위 산업 기지

개요: APT7은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다. 이 그룹은 미국과 영국에 본사를 둔 조직을 표적으로 삼는 것으로 알려져 있습니다.

관련된 멀웨어: DIGDUG, TRACKS

공격 경로: APT7 공격자들은 한 기업에 대한 액세스를 사용하여 같은 모기업에 속한 다른 기업에 침투해왔습니다. 이것은 측면 이동의 한 형태이지만, 이 경우에는 두 번째 조직에 대한 초기 침해 방법이기도 합니다.

APT6

의심 국가: 중국

공격 대상: 운송, 자동차, 건설 및 엔지니어링, 통신, 전자, 건설 및 자재

개요: APT6은 데이터 유출을 목표로 사이버 공격을 진행하며, 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 두는 것으로 예상됩니다. APT6은 미국과 영국에 본사를 둔 조직을 표적으로 삼았습니다.

관련된 멀웨어: BELUGA, EXCHAIN, PUPTENT

공격 경로: APT6은 다른 APT 그룹들이 사용하는 일부 백도어뿐만 아니라 고유한 백도어를 비롯한 여러 맞춤형 백도어를 활용합니다.

APT 5

의심 국가: 중국

공격 대상: 미국, 유럽 및 아시아의 지역 통신 제공업체, 글로벌 통신 및 기술 기업의 아시아 기반 직원, 하이테크 제조 및 군사 응용 기술.

개요: APT5는 최소한 2007년부터 활동을 시작했습니다. APT5는 여러 산업에 종사하는 조직을 표적으로 삼거나 침해했지만 주로 통신 및 기술 회사, 특히 위성 통신에 관한 정보를 표적으로 하는 것으로 보입니다. 2014년부터 Mandiant 이슈 대응은 APT5가 다른 기술 플랫폼에 내장된 운영체제에 있는 파일에 무단으로 코드를 변경하는 것을 발견했습니다. 2015년에 APT5는 민간 및 정부 기관에 서비스와 기술을 제공하는 미국의 통신 조직을 침해했습니다. 이 침입에서 공격자들은 회사의 네트워크 라우터와 관련된 일부 라우터 이미지를 다운로드하여 수정했습니다. 또한 이 기간 동안 APT5는 남아시아 방위 조직에서 군사 기술과 관련된 파일을 유출했습니다. 관찰된 파일 이름으로 보아 공격자가 제품 사양, 기술 제품에 관한 이메일, 조달 입찰 및 제안, 무인 항공기(UAV)에 대한 문서에 관심이 있었음을 시사합니다.

관련된 멀웨어: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

공격 경로: 구분된 전술 및 인프라를 갖춘 여러 개의 하위 그룹으로 구성된 대규모 위협 그룹으로 보입니다. 이 그룹은 악성코드와 키로깅 기능을 사용하여 특히 통신 회사의 기업 네트워크, 직원 및 경영진을 표적으로 삼습니다. APT5는 네트워크 디바이스를 침해하고 이러한 어플라이언스를 지원하는 기반 소프트웨어를 조작하는 데 상당한 관심을 보였습니다.

APT 4

다른 이름: Maverick Panda, Sykipot Group, Wisp

의심 국가: 중국

공격 대상: 항공우주 및 방위, 산업 엔지니어링, 전자, 자동차, 정부, 통신, 운송

개요: APT4는 다른 상업 조직보다 높은 빈도로 방위 산업 기지(DIB)를 표적으로 삼는 것으로 보입니다. 그러나 APT4의 표적 침해 이력은 광범위합니다.

관련된 멀웨어: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

공격 경로: APT4 공격자는 보통 미국 정부, 국방부 또는 방위 산업 기지를 주제로 사용하는 스피어피싱 메시지를 활용합니다. APT4 위협 행위자는 합법적인 것으로 보이기 위해 정부 또는 미국 DoD 웹사이트의 유효한 콘텐츠를 수정하여 메일 본문에 활용할 수 있습니다.

APT 3

다른 이름: UPS Team

의심 국가: 중국

공격 대상: 항공우주 및 방위, 건설 및 엔지니어링, 하이테크, 통신 및 운송

개요: Mandiant가 APT3으로 추적하는 이 위협 그룹은 중국에 근거지를 두고 있으며 Mandiant Threat Intelligence가 추적하는 위협 그룹 중 가장 정교한 공격을 구사합니다. 브라우저 기반 익스플로잇(예: Internet Explorer, Firefox 및 Adobe Flash Player)를 제로데이로 이용한 전력도 있습니다. 목표 호스트를 악용하는 데 성공하면 바로 인증 정보를 덤프하고 내부 이동을 통해 추가 호스트에 접근한 후 맞춤화된 백도어를 설치합니다. APT3의 명령 및 제어(CnC) 인프라는 캠페인 간에 겹치는 부분이 거의 없기 때문에 추적이 어렵습니다.

관련된 멀웨어: SHOTPUT, COOKIECUTTER, SOGU

공격 경로: APT3이 사용하는 피싱 이메일은 그 특성이 일반적이며 대부분 스팸으로 나타납니다. Adobe Flash Player가 플래시 비디오(FLV) 파일을 구문 분석하는 방식으로 패치되지 않은 취약점을 악용했습니다. 이 익스플로잇은 일반적인 벡터 손상 기술을 사용하여 주소 공간 레이아웃 임의 지정(ASLR)을 우회하고 반환 지향 프로그래밍(ROP)을 사용하여 데이터 실행 방지(DEP)를 우회합니다. 이들은 ROP 기술을 교묘하게 조작하여 익스플로잇을 용이하게 하고 일부 ROP 감지 기술을 회피합니다. 셸코드는 복호화에 사용되는 키와 함께 압축된 Adobe Flash Player 익스플로잇 파일에 저장됩니다. 페이로드는 xor로 인코딩되어 이미지 안에 숨겨집니다.

추가 리소스

추가 리소스

APT 2

의심 국가: 중국

공격 대상: 군사 및 항공우주 관련 조직

개요: 이 그룹은 2010년에 처음 관찰되었습니다. APT2는 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: MOOSE, WARP

공격 경로: CVE-2012-0158을 악용하는 스피어피싱 이메일을 발송합니다.

APT 30

의심 국가: 중국

공격 대상: 동남아시아 국가 연합(ASEAN) 회원국

개요: APT30은 오랫동안 지속적인 활동으로 주목을 받았을 뿐만 아니라 최소한 2005년부터는 동일한 툴, 전술 및 인프라를 유지하기 위해 성공적으로 소스 코드를 수정하고 조정한 것으로도 유명합니다. 증거에 따르면 그룹이 표적의 우선 순위를 정하며, 대개 협력적인 환경에서 교대로 일하면서 일관성 있는 개발 계획에 따라 악성코드를 빌드하는 것으로 보입니다. 이 그룹은 2005년 이후로 에어 갭 적용 네트워크를 감염시키는 기능을 갖추었습니다.

관련된 멀웨어: SHIPSHAPE, SPACESHIP, FLASHFLOOD

공격 경로: APT30은 다운로더, 백도어, 중앙 컨트롤러, 그리고 이동식 드라이브와 교차 에어 갭 적용 네트워크를 감염시켜 데이터를 유출하도록 설계된 몇 가지 컴포넌트가 포함된 툴 세트를 사용합니다. APT30은 대개 악성코드 CnC 활동을 위해 자체 DNS 도메인을 등록합니다.

APT 27

의심 국가: 중국

공격 대상: APT27은 북미 및 남미, 유럽, 중동 등 세계 각지에 본사를 둔 여러 조직을 표적으로 삼았습니다. 이러한 조직은 서비스, 하이테크, 정부와 에너지 등 다양한 산업에 속하지만, 항공우주와 운송 산업에 속한 많은 수의 기업들이 눈에 띄게 포함되어 있습니다.

개요: APT27은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: PANDORA, SOGU, ZXSHELL, GHOST, WIDEBERTH, QUICKPULSE, FLOWERPOT

공격 경로: APT27은 일반적으로 스피어피싱을 초기 침해 방법으로 사용합니다. APT27 공격자는 오리지널 제로데이 익스플로잇을 사용하지 않는 것으로 알려져 있지만, 이러한 익스플로잇이 일단 공개되어 사용 가능하게 되면 이를 활용할 수도 있습니다. 최소 한 건의 사례에서 APT27 공격자들은 한 피해자 조직에서 해킹된 계정을 사용하여 유사한 업종의 다른 의도된 피해자들에게 스피어피싱 이메일을 보낸 바 있습니다. 또한 APT27은 초기 거점을 확보하기 위해 취약한 웹 애플리케이션을 침해할 수 있습니다.

APT 26

의심 국가: 중국

공격 대상: 항공우주, 방위 및 에너지 부문

개요: APT26은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: SOGU, HTRAN, POSTSIZE, TWOCHAINS, BEACON

공격 경로: 이 그룹은 공격 표적 네트워크에 대한 액세스를 확보하고 피해자 환경에 침투하면 맞춤형 백도어에 대한 액세스를 얻기 위해 전략적 웹 침해를 자주 사용합니다.

APT 25

다른 이름: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor

의심 국가: 중국

공격 대상: 미국과 유럽의 방위 산업 기지, 미디어, 금융 서비스 및 운송 부문

개요: APT25는 데이터 유출을 목적으로 한 사이버 공격에 가담합니다.

관련된 멀웨어: LINGBO, PLAYWORK, MADWOFL, MIRAGE, TOUGHROW, TOYSNAKE, SABERTOOTH

공격 경로: APT25는 지금까지 악성 첨부 파일과 악성 하이퍼링크를 포함하는 메시지를 비롯하여 스피어피싱을 사용했습니다. APT25 공격자는 일반적으로 제로데이 익스플로잇을 사용하지 않지만, 이러한 익스플로잇이 일단 공개되어 사용 가능하게 되면 이를 활용할 수도 있습니다.

APT 24

다른 이름: PittyTiger

의심 국가: 중국

공격 대상: APT24는 정부, 의료, 건설 및 엔지니어링, 광업, 비영리, 통신 산업의 조직을 포함하여 다양한 산업을 표적으로 삼았습니다.

개요: 이 그룹은 미국과 대만을 비롯한 국가에 본사를 둔 조직을 표적으로 삼는 것으로 알려져 있습니다. APT24는 지금까지 네트워크 밖으로 전송하기 전에 유출된 데이터를 암호화하고 압축하기 위해 RAR 아카이브 유틸리티를 사용했습니다. 이 공격자로부터 유출된 데이터는 주로 정치적 중요성을 지닌 문서에 초점을 두었으며, 이는 중국에서 지속되고 있는 영토 또는 주권 분쟁과 관련된 다양한 국가들의 입장을 모니터링하기 위한 의도가 있음을 시사합니다.

관련된 멀웨어: PITTYTIGER, ENFAL, TAIDOOR

공격 경로: APT24는 군사, 재생 에너지 또는 비즈니스 전략 주제를 미끼로 사용한 피싱 이메일을 사용했습니다. 또한 APT26은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

APT 23

의심 국가: 중국

공격 대상: 미국 및 필리핀의 미디어와 정부

개요: APT23은 지적 재산 대신에 정치적 및 군사적 중요성을 지닌 정보를 탈취했습니다. 이는 APT23이 보다 전통적인 스파이 작전을 지원하여 데이터 유출을 수행할 수 있음을 시사합니다.

관련된 멀웨어: NONGMIN

공격 경로: APT23은 피해자 네트워크를 침해하기 위해 교육 관련 피싱 미끼를 포함하여 스피어피싱 메시지를 사용했습니다. APT23 공격자는 제로데이 익스플로잇을 사용하는 것으로 알려져 있지 않지만, 이러한 익스플로잇이 공개된 후 사용 가능하게 되어 이를 활용한 적이 있습니다.

APT 12

다른 이름: Calc Team

의심 국가: 중국

공격 대상: 언론, 정부, 방위 산업 기지

개요: APT12는 중국 인민해방군과 연관된 사이버 스파이 그룹으로 보입니다. APT12의 표적은 중국 인민공화국(PRC)의 목표와 일치합니다. 이 그룹이 지휘한 침입 공격과 캠페인은 중국 인민공화국의 목표 및 대만 내 이해 타산과 밀접하게 연결되어 있습니다.

관련된 멀웨어: RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

공격 벡터: Mandiant는 유효하지만 도용된 계정의 피싱 이메일을 사용하여 APT12가 이러한 익스플로잇 문서를 전달하는 것을 목격했습니다. 지난 APT12 활동을 근거로 볼 때 이 위협 그룹은 계속해서 피싱을 활용하여 악성코드를 전달할 것으로 예상됩니다.

추가 리소스

APT 10

다른 이름: Menupass Team

의심 국가: 중국

공격 대상: 미국, 유럽 및 일본의 건설 및 엔지니어링, 항공우주 및 통신 회사와 정부 기관

개요: APT10은 Mandiant가 2009년부터 추적해 온 중국의 사이버 스파이 그룹입니다. 현재까지 미국, 유럽 및 일본의 건설 및 엔지니어링, 항공우주 및 통신 회사와 정부기관을 표적으로 삼아 왔습니다. 유용한 군사 및 인텔리전스 정보를 입수하고 기밀 비즈니스 데이터를 훔쳐 중국 기업을 지원하는 등 중국의 국가 안보 목표를 지원하기 위해 이러한 산업을 표적으로 삼은 것으로 보입니다.

관련된 멀웨어: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

공격 경로: 최근 APT10 활동에는 기존의 스피어피싱과 관리형 서비스 제공업체를 통해 피해자의 네트워크에 액세스하는 기법이 포함되었습니다. (서비스 제공업체를 통한 감염에 대한 자세한 내용은 M-Trends 2016 참조) APT10 스피어피싱은 비교적 간단한 공격 기법으로, 아카이브 내의 .lnk 파일과 확장자가 두 개인 파일(예: [Redacted]_Group_Meeting_Document_20170222_doc_.exe)을 활용하며 경우에 따라 동일한 이름의 미끼 문서 및 동일한 아카이브 내의 악성 런처를 활용하기도 합니다. Mandiant Threat Intelligence는 APT10이 스피어피싱에 더해 글로벌 서비스 제공업체를 통해 피해자에게 접근하는 것 역시 목격했습니다.

추가 리소스

추가 리소스

APT 9

의심 국가: 가용한 데이터를 바탕으로 어느 정도 정부 후원을 받는, 중국에 위치한 프리랜서로 구성된 그룹으로 평가하고 있습니다.

공격 대상: 여러 국가에 본사를 두고 의료 및 제약, 건설 및 엔지니어링, 항공우주 및 방위와 같은 산업에 종사하는 조직

개요: APT9는 데이터 유출이 목표로 사이버 공격을 진행하고, 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: SOGU, HOMEUNIX, PHOTO, FUNRUN, Gh0st, ZXSHEL

공격 경로: APT9는 과거에 제약 및 생명공학 산업에서 매우 활발하게 활동했습니다. 이 공격자는 초기 액세스를 위해 스피어피싱, 유효한 계정뿐만 아니라 원격 서비스를 사용하는 것으로 관찰되었습니다. Mandiant에서는 최소 한 경우, APT9를 생명공학 산업의 기업 2곳에서 관찰하였고 APT9 공격자가 두 기업 간의 신뢰 관계를 악용하여 한 기업에 대한 초기 액세스를 취득했을 수 있다고 의심하고 있습니다. APT9는 공개적으로 이용 가능한 백도어뿐만 아니라, 다수 APT 그룹들이 사용하는 백도어인 맞춤형 백도어를 사용합니다.

APT 8

의심 국가: 중국

공격 대상: 미디어 및 엔터테인먼트, 건설 및 엔지니어링, 항공우주 및 방위 산업을 포함한 광범위한 산업

개요: APT8은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다. APT8은 어느 정도 정부 후원을 받는, 중국에 위치한 프리랜서로 구성된 그룹으로 평가합니다. APT8은 미국, 독일, 영국, 인도와 일본을 포함하여 다수 국가에 본사를 둔 조직을 표적으로 삼았습니다.

관련된 멀웨어: HASH, FLYZAP, GOLFPRO, SAFEPUTT

공격 경로: APT8 공격자는 보통 악성 첨부 파일 또는 링크가 있는 스피어피싱 이메일을 사용하거나 표적 조직을 침해하기 위해 취약한 인터넷 연결 웹서버를 악용합니다. 또한 여러 침해작전에서 APT8 공격자들이 채팅 또는 인스턴트 메시징 프로그램을 사용하여 잠재적 피해자들에게 악성 링크를 보낸 적이 있습니다.

APT 7

의심 국가: 중국

공격 대상: 건설, 엔지니어링, 항공우주 및 방위 산업 기지

개요: APT7은 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다. 이 그룹은 미국과 영국에 본사를 둔 조직을 표적으로 삼는 것으로 알려져 있습니다.

관련된 멀웨어: DIGDUG, TRACKS

공격 경로: APT7 공격자들은 한 기업에 대한 액세스를 사용하여 같은 모기업에 속한 다른 기업에 침투해왔습니다. 이것은 측면 이동의 한 형태이지만, 이 경우에는 두 번째 조직에 대한 초기 침해 방법이기도 합니다.

APT 6

의심 국가: 중국

공격 대상: 운송, 자동차, 건설 및 엔지니어링, 통신, 전자, 건설 및 자재

개요: APT6은 데이터 유출을 목표로 사이버 공격을 진행하며, 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 두는 것으로 예상됩니다. APT6은 미국과 영국에 본사를 둔 조직을 표적으로 삼았습니다.

관련된 멀웨어: BELUGA, EXCHAIN, PUPTENT

공격 경로: APT6은 다른 APT 그룹들이 사용하는 일부 백도어뿐만 아니라 고유한 백도어를 비롯한 여러 맞춤형 백도어를 활용합니다.

APT 5

의심 국가: 중국

공격 대상: 미국, 유럽 및 아시아의 지역 통신 제공업체, 글로벌 통신 및 기술 기업의 아시아 기반 직원, 하이테크 제조 및 군사 응용 기술.

개요: APT5는 최소한 2007년부터 활동을 시작했습니다. APT5는 여러 산업에 종사하는 조직을 표적으로 삼거나 침해했지만 주로 통신 및 기술 회사, 특히 위성 통신에 관한 정보를 표적으로 하는 것으로 보입니다. 2014년부터 Mandiant 이슈 대응은 APT5가 다른 기술 플랫폼에 내장된 운영체제에 있는 파일에 무단으로 코드를 변경하는 것을 발견했습니다. 2015년에 APT5는 민간 및 정부 기관에 서비스와 기술을 제공하는 미국의 통신 조직을 침해했습니다. 이 침입에서 공격자들은 회사의 네트워크 라우터와 관련된 일부 라우터 이미지를 다운로드하여 수정했습니다. 또한 이 기간 동안 APT5는 남아시아 방위 조직에서 군사 기술과 관련된 파일을 유출했습니다. 관찰된 파일 이름으로 보아 공격자가 제품 사양, 기술 제품에 관한 이메일, 조달 입찰 및 제안, 무인 항공기(UAV)에 대한 문서에 관심이 있었음을 시사합니다.

관련된 멀웨어: BRIGHTCREST, SWEETCOLA, SPIRITBOX, PALEJAB, WIDERIM, WINVAULT, HAPPYSAD, BIRDWORLD, FARCRY, CYFREE, FULLSILO, HELLOTHEWORLD, HAZELNUT, GIF89A, SCREENBIND, SHINYFUR, TRUCKBED, LEOUNCIA, FREESWIM, PULLTAB, HIREDHELP, NEDDYHORSE, PITCHFORK, BRIGHTCOMB, ENCORE, TABCTENG, SHORTLEASH, CLEANACT, BRIGHTCYAN, DANCEPARTY, HALFBACK, PUSHBACK, COOLWHIP, LOWBID, TIGHTROPE, DIRTYWORD, AURIGA, KEYFANG, Poison Ivy

공격 경로: 구분된 전술 및 인프라를 갖춘 여러 개의 하위 그룹으로 구성된 대규모 위협 그룹으로 보입니다. 이 그룹은 악성코드와 키로깅 기능을 사용하여 특히 통신 회사의 기업 네트워크, 직원 및 경영진을 표적으로 삼습니다. APT5는 네트워크 디바이스를 침해하고 이러한 어플라이언스를 지원하는 기반 소프트웨어를 조작하는 데 상당한 관심을 보였습니다.

APT 4

다른 이름: Maverick Panda, Sykipot Group, Wisp

의심 국가: 중국

공격 대상: 항공우주 및 방위, 산업 엔지니어링, 전자, 자동차, 정부, 통신 및 운송

개요: APT4는 다른 상업 조직보다 높은 빈도로 방위 산업 기지(DIB)를 표적으로 삼는 것으로 보입니다. 그러나 APT4의 표적 침해 이력은 광범위합니다.

관련된 멀웨어: GETKYS, LIFESAVER, CCHIP, SHYLILT, SWEETTOOTH, PHOTO, SOGO

공격 경로: APT4 공격자는 보통 미국 정부, 국방부 또는 방위 산업 기지를 주제로 사용하는 스피어피싱 메시지를 활용합니다. APT4 공격자는 합법성을 부여하기 위해 메시지 본문에서 정부 또는 미국 DoD 웹사이트의 콘텐츠를 고쳐 활용할 수 있습니다.

APT 3

다른 이름: UPS Team

의심 국가: 중국

공격 대상: 항공우주 및 방위, 건설 및 엔지니어링, 하이테크, 통신 및 운송

개요: Mandiant가 APT3으로 추적하는 이 위협 그룹은 중국에 근거지를 두고 있으며 Mandiant Threat Intelligence가 추적하는 위협 그룹 중 가장 정교한 공격을 구사합니다. 브라우저 기반 익스플로잇(예: Internet Explorer, Firefox 및 Adobe Flash Player)를 제로데이로 이용한 전력도 있습니다. 목표 호스트를 악용하는 데 성공하면 바로 인증 정보를 덤프하고 내부 이동을 통해 추가 호스트에 접근한 후 맞춤화된 백도어를 설치합니다. APT3의 명령 및 제어(CnC) 인프라는 캠페인 간에 겹치는 부분이 거의 없기 때문에 추적이 어렵습니다.

관련된 멀웨어: SHOTPUT, COOKIECUTTER, SOGU

공격 경로: APT3이 사용하는 피싱 이메일은 그 특성이 일반적이며 대부분 스팸으로 나타납니다. Adobe Flash Player가 플래시 비디오(FLV) 파일을 구문 분석하는 방식으로 패치되지 않은 취약점을 악용했습니다. 이 익스플로잇은 일반적인 벡터 손상 기술을 사용하여 주소 공간 레이아웃 임의 지정(ASLR)을 우회하고 반환 지향 프로그래밍(ROP)을 사용하여 데이터 실행 방지(DEP)를 우회합니다. 이들은 ROP 기술을 교묘하게 조작하여 익스플로잇을 용이하게 하고 일부 ROP 감지 기술을 회피합니다. 셸코드는 복호화에 사용되는 키와 함께 압축된 Adobe Flash Player 익스플로잇 파일에 저장됩니다. 페이로드는 xor로 인코딩되어 이미지 안에 숨겨집니다.

추가 리소스

추가 리소스

APT 2

의심 국가: 중국

공격 대상: 군사 및 항공우주 관련 조직

개요: 이 그룹은 2010년에 처음 관찰되었습니다. APT2는 지적재산 탈취를 목적으로 공격을 수행하고 일반적으로 특정 조직이 소속 산업 분야에서 경쟁력을 확보할 수 있는 데이터와 프로젝트를 침해하는 데 초점을 둡니다.

관련된 멀웨어: MOOSE, WARP

공격 경로: CVE-2012-0158을 악용하는 스피어피싱 이메일을 발송합니다.

APT 1

다른 이름: Unit 61398, Comment Crew

의심 국가: 중국 인민해방군의 총참모부 3부 2국(군부대 번호인 61398번 부대로 널리 알려짐).

공격 대상: 정보 기술, 항공우주, 행정, 위성 및 통신, 과학 연구 및 컨설팅, 에너지, 운송, 건설 및 제조, 엔지니어링 서비스, 하이테크 전자, 국제 조직, 법률 서비스, 미디어, 광고 및 엔터테인먼트, 네비게이션, 화학, 금융 서비스, 식품 및 농업, 의료, 금속 및 광업, 교육

개요: APT1은 최소 141개 조직으로부터 수백 테라바이트에 달하는 데이터를 체계적으로 훔쳤으며 수십여 조직의 데이터를 동시에 훔칠 수 있는 역량과 그 의도를 충분히 드러냈습니다. 이 그룹은 영어권 국가에서 다양한 산업에 종사하는 조직을 침해하는 데 주력합니다. APT1의 인프라 규모로 짐작컨데 이 그룹은 최소 수십 명, 최대 수백 명의 공격자를 보유한 대규모 조직인 것으로 여겨집니다.

관련된 멀웨어: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

공격 경로: 초기 침해에서 가장 흔하게 목격된 방법은 스피어피싱입니다. 이 스피어피싱 이메일에는 악성 첨부 파일 또는 악성 파일에 대한 하이퍼링크가 포함됩니다. 제목 줄과 이메일 본문의 텍스트는 주로 수신인과 관련됩니다. APT1은 실제 사람의 이름을 사용하여 웹메일 계정을 생성하기도 합니다. APT1 공격자는 Poison Ivy 및 Gh0st RAT 등 공개적으로 제공되는 백도어는 가끔 사용하며 대부분 자체적으로 맞춤 설계한 것으로 보이는 백도어를 사용합니다. 네트워크에 머무르는 기간(수년이 될 수도 있음) 동안 APT1은 환경에서 더 많은 시스템을 확보하기 위해 새로운 백도어를 설치합니다. 백도어 하나가 발견되고 삭제되면 다른 백도어를 계속해서 사용합니다. APT1가 몇 주 이상 상주하는 경우 피해자 네트워크의 곳곳에서 다수의 APT1 백도어군이 감지되는 상황을 자주 볼 수 있습니다.

APT43

의심 국가: 북한

공격 대상: APT43은 북한 정권의 이익과 밀접한 관계가 있으며, 김정은에게 영향을 미치는 지정학적 상황과 긴밀하게 연결되어 있습니다. APT43은 한국과 미국 조직을 대상으로 지속적으로 첩보 활동을 수행해 왔습니다. 2021년에는 코로나19 팬데믹에 대응하기 위해 의료 분야로 관심이 옮겨갔습니다.

APT43은 북한 정권의 이익을 적극적으로 지원하는 사이버 운영자입니다. 이 그룹은 특히 한반도의 지정학적 문제에 중점을 둔 한국과 미국의 정부 조직, 학계, 싱크탱크를 상대로 어느 정도 정교한 기술 역량과 공격적인 소셜 엔지니어링 전술을 결합합니다. 스파이 사이버 공격 외에도 APT43은 전략적 첩보 활동이라는 주요 임무를 지원하기 위해 사이버 범죄 작전을 통해 자금을 조달하는 것으로 간주됩니다. APT43은 다양한 작전에서 북한의 다른 스파이 조직과 협력해 왔으며, 이는 APT43이 정권의 사이버 조직에서 중요한 역할을 하고 있음을 분명히 보여줍니다.

관련 멀웨어: 이 그룹은 gh0st RAT, QUASARRAT, AMADEY, BITTERSWEET, COINTOSS, LATEOP을 포함하되 이에 국한되지 않고 많은 멀웨어 패밀리를 사용합니다.

공격 경로: APT43은 정교한 소셜 엔지니어링 전술을 실행하는 방법으로 스피어피싱 캠페인을 활용합니다. 이 그룹은 소셜 엔지니어링에 사용하기 위한 수많은 스푸핑된 허위 캐릭터뿐만 아니라 작전 도구와 인프라 구매를 위한 위장 신분을 만듭니다.

추가 리소스

추가 리소스

추가 리소스

추가 리소스

APT 38

의심 국가: 북한

대상 부문: 전 세계 금융 기관

개요: 북한 정권의 비호를 받는 APT38이라는 위협 그룹에 대한 분석 결과, 최대 규모의 사이버 절도를 시행한 장본인임이 밝혀졌습니다. APT38은 보안 커뮤니티에서 'Lazarus'로 불리는 북한의 위협 그룹과 악성코드 개발 리소스를 공유하지만, APT38의 자금 탈취 동기, 고유한 툴셋 및 전술, 기법, 절차(TTP)는 북한의 다른 사이버 활동과 별개로 추적하기에 충분할 만큼 다른 특성을 가지고 있습니다.

관련 멀웨어: 이 대규모의 왕성한 그룹은 백도어, 터널러, 데이터 마이너 및 파괴적 악성코드를 포함하는 다양한 커스텀 악성코드 패밀리를 사용하여 금융기관으로부터 수백만 달러를 훔치고 피해 네트워크를 작동 불가능한 상태로 만듭니다.

공격 경로: APT38은 최소 11개 국가에서 16개 이상의 조직을 대상으로 작전을 펼쳤습니다. 이 그룹은 신중하고, 계산적이며, 열정적으로 네트워크 레이아웃, 필요한 권한 및 시스템 기술을 파악하는 데 충분한 시간 동안 피해 환경에 대한 액세스를 오랜 시간 유지하면서 최종 목표를 달성하고자 했습니다. APT38은 작전의 일부로 공격적으로 증거를 인멸하거나 피해 조직의 네트워크를 파괴하는 데 두려움이 없다는 점에서 고유한 특성을 보입니다.

추가 리소스

APT 37

의심 국가: 북한

공격 대상: 주로 한국의 다양한 업종(화학, 전자, 제조업, 항공우주, 자동차, 의료 등)을 대상으로 하며 일본, 베트남, 중동도 포함됩니다.

개요: APT37의 최신 활동을 분석한 결과 그룹이 제로데이 취약점 및 와이퍼 악성코드 액세스를 포함한 툴셋을 통해 공격의 범위를 확대하고 수준을 높여가는 것으로 확인되었습니다. 이들이 개발한 악성코드를 볼 때, 그리고 공격 대상이 북한 정부의 이해관계와 긴밀한 연관성이 있다는 점을 볼 때, APT37은 북한 정부를 대신해 공격 활동을 펼치고 있다고 Mandiant는 높은 신뢰도를 가지고 판단했습니다. Mandiant Threat Intelligence는 APT37이 기존에 Scarcruft와 Group123으로 알려진 조직과 관련이 있을 것으로 보고 있습니다.

관련된 멀웨어: 초기 침투와 유출에 다양한 악성코드를 이용합니다. APT37은 스파이 목적으로 이용되는 맞춤형 악성코드 외에 파괴적인 악성코드도 이용합니다.

공격 경로: 원하는 표적에 맞춰진 소셜 엔지니어링 전술, 표적 사이버 스파이 작전의 전형이라고 할 수 있는 전략적 웹 해킹과 토렌트 파일 공유 사이트를 이용한 무차별 악성코드 배포 등이 포함됩니다. 한글 워드 프로세서(HWP)와 Adobe Flash의 취약점을 자주 악용합니다. 이 그룹은 제로데이 취약점(CVE-2018-0802)에 액세스하고 이러한 취약점을 공격에 활용할 수 있습니다.

추가 리소스

APT42

의심 국가: 이란

공격 대상: APT42는 현 이란 정권에 반대하는 개인이나 단체를 집중적으로 공격하여 개인 계정과 휴대기기에 대한 액세스 권한을 획득하려고 합니다. 또한 이 그룹은 서방의 씽크탱크, 연구원, 언론인, 서방의 현직 공무원, 이란의 전직 공무원, 해외 이란 디아스포라를 지속적으로 공격 대상으로 삼았습니다.

개요: APT42는 이란 정부가 배후에 있는 사이버 스파이 그룹으로, 이란 정부가 전략적으로 주시하는 개인과 조직을 대상으로 정보 수집과 감시 작전을 수행합니다. 이 그룹은 피해자와 신뢰와 유대감을 쌓기 위해 공무원, 전직 이란 정책 입안자 또는 정치인, 이란의 디아스포라 및 반대 세력의 구성원, 언론인, 이란에 관한 연구에 참여하는 학자의 개인 및 회사 이메일 계정에 액세스하는 등의 활동을 벌였습니다. 

관련 멀웨어: 이 그룹은 TAMECAT, TABBYCAT, VBREVSHELL, POWERPOST, BROKEYOLK, CHAIRSMACK, ASYNCRAT을 포함하되 이에 국한되지 않고 많은 멀웨어 패밀리를 사용합니다.

공격 경로: 대부분의 APT와 마찬가지로 APT42는 피싱 캠페인을 활용하지만, 주된 공격 경로는 피해자의 위치를 추적하고, 전화 대화 내용을 녹음하고, 동영상 및 이미지에 액세스하고, 전체 SMS 받은 편지함을 추출하는 데 사용되는 모바일 멀웨어 사용이었습니다.

추가 리소스

추가 리소스

추가 리소스

추가 리소스

APT 39

의심 국가: 이란

공격 대상: APT39의 표적의 범위는 전 세계로 광범위하지만, 그 활동은 중동 지역에서 집중적으로 이루어지고 있습니다. APT39는 통신 부문을 주로 노리며, 여행 산업 및 여행 서비스를 지원하는 IT 회사, 그리고 하이테크 산업도 표적으로 삼고 있습니다.

개요: 이 그룹이 통신 및 여행 산업에 집중하는 것은 특정 개인을 대상으로 모니터링, 추적 또는 감시 활동을 수행하거나, 국가의 주요 과제와 관련한 전략적 요건을 뒷받침하기 위해 상업적 또는 작전상의 목적으로 독점 데이터 또는 고객 데이터를 수집하거나, 향후 캠페인에 활용하기 위해 추가적인 액세스 및 경로를 확보하려는 의도로 보입니다. 정부 기관을 표적으로 하는 것은 국가적 의사 결정에 유리한 지정학적 데이터를 수집하려는 부차적인 목적이 숨어있음을 보여줍니다.

관련된 악성코드: 이 그룹은 주로 SEAWEED 및 CACHEMONEY 백도어와 함께, POWBAT 백도어의 특정 변형 버전을 사용합니다.

공격 경로: 초기 침해 사례에서 Mandiant Intelligence는 APT39가 일반적으로 POWBAT 감염을 유발하는 악성 첨부 파일이 포함된 스피어피싱 이메일 및/또는 하이퍼링크를 활용하는 것을 관찰했습니다. 이전에 침해당한 이메일 계정을 활용한 사례도 있었습니다. 이는 신뢰 관계를 이용하여 공격의 성공 확률을 높이기 위한 시도로 보입니다. APT39는 원하는 표적과 관련이 있는 합법적인 웹 서비스와 조직을 가장한 도메인을 자주 등록 및 활용합니다. 또한 이 그룹은 표적 조직의 취약한 웹 서버를 수시로 파악하고 악용하여 ANTAK 및 ASPXSPY 같은 웹 셸을 설치하고, 도용한 합법적 인증 정보를 이용하여 외부에 연결된 OWA(Outlook Web Access) 리소스를 침해했습니다. APT39가 취약점을 악용한 사례는 관찰되지 않았습니다.

추가 리소스

APT 34

의심 국가: 이란

공격 대상: 이 위협 그룹은 금융, 정부기관, 에너지, 화학 및 통신을 비롯한 다양한 산업을 대상으로 공격을 벌였으며 이러한 공격은 중동에서 집중적으로 발생했습니다.

개요: APT34는 이란의 국가적 이익을 위한 정찰에 초점을 둔 장기적인 사이버 스파이 공격과 관련되었으며 최소한 2014년부터 시작된 것으로 보입니다. 인프라 세부 정보에 이란에 대한 언급과 이란 인프라의 사용에 대한 내용이 포함되고 공격의 표적이 이란의 국가적 이익과 일치하는 것으로 볼 때 APT34는 이란 정부를 대신하는 것으로 판단됩니다.

관련된 멀웨어: POWBAT, POWRUNER, BONDUPDATER

공격 경로: 최신 캠페인에서 APT34는 최근에 발견된 Microsoft Office 취약점인 CVE-2017-11882를 활용하여 POWRUNER와 BONDUPDATER를 설치했습니다.

추가 리소스

APT 33

의심 국가: 이란

공격 대상: 항공우주, 에너지 부문

개요: APT33은 미국, 사우디아라비아 및 한국에 본사를 둔 여러 산업의 조직을 표적으로 삼았습니다. APT33은 군사 및 상용 항공 부문의 조직과 석유화학 생산 관련 에너지 부문 조직에 특히 관심을 보였습니다.

관련된 멀웨어: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

공격 경로: APT33은 항공 산업과 관련된 직원에게 스피어피싱 이메일을 발송했습니다. 이 이메일에는 채용 관련 주제의 미끼와 악성 HTML 애플리케이션(.hta) 파일의 링크가 들어 있었습니다. .hta 파일에는 업무에 관한 설명과 표적이 된 개인에게 적절해 보이는 유명 구인/구직 웹 사이트의 합법적인 채용 공고 링크가 포함되어 있었습니다.

추가 리소스

APT 28

다른 이름: Tsar Team

의심 국가: 러시아 정부

공격 대상: 카프카스산맥(특히 조지아), 동유럽 국가 및 군대, 북대서양 조약 기구(NATO), 기타 유럽 보안 조직 및 방산업체

개요: APT28은 방위 및 지정학적 문제에 대한 인텔리전스(정부에만 유용한 인텔리전스)를 수집하는 개발자 및 운영자로 구성된 숙련된 팀입니다. 이 APT 그룹은 모스크바, 상트페테르부르크 등 러시아 주요 도시의 표준 시간대 기준으로 일과 시간(오전 8시~오후 6시) 동안 러시아 언어 설정을 사용하여 멀웨어 샘플을 컴파일합니다. 이러한 사실은 곧 APT28이 러시아 정부 같은 안정된 조직으로부터 지속적인 재무 및 기타 리소스를 직접 받는다는 것을 의미합니다.

관련된 멀웨어: CHOPSTICK, SOURFACE

공격 경로: APT28에서 일반적으로 사용하는 툴에는 SOURFACE 다운로더, 2단계 백도어 EVILTOSS, CHOPSTICK이라는 별명을 가진 이식물(implant)의 모듈식 군집이 포함됩니다. APT28은 RSA 암호화를 채택하여 파일을 보호하고 피해자의 네트워크에서 컨트롤러로 이동시킨 정보를 훔쳤습니다. 또한 2007년 이후로 SOURFACE 다운로더 및 주변 에코시스템을 점진적으로, 체계적으로 변경했습니다. 이는 곧 전담팀이 오랫동안 개발해 왔음을 나타냅니다.

추가 리소스

APT29

의심 국가: 러시아

공격 대상: 역사적으로 서방 정부, 외교 및 정책 결정 기관, 정부 계약업체, 대학, 심지어 국제 언론사까지 공격 대상으로 삼는 것으로 보였습니다.

개요: APT29는 러시아에 위치한 국가 배후의 사이버 스파이 그룹입니다. 이 그룹은 다양한 맞춤 개발 도구, (명백한 서비스 제공업체를 통해) 침해된 위성 인프라를 포함하는 광범위한 명령 및 제어(C2) 네트워크, 높은 수준의 운영 보안 등 강력한 역량을 보유하고 있습니다. APT29가 관여한 사건을 조사한 결과, 이 공격 집단은 피해자의 방어 태세를 잘 알고 있었으며 조사 담당자와 해결 시도를 피하는 방법에 익숙한 것으로 나타났습니다.

관련 멀웨어: 이 그룹은 BEACON, COZYCAR, DAVESHELL, GREEDYHEIR, HTRAN, REGEORG, SEADADDY, SUNBURST를 포함하되 이에 국한되지 않고 많은 멀웨어 패밀리를 사용합니다.

공격 경로: APT29는 스피어피싱을 사용하여 대상 네트워크에 액세스하는 경우가 많지만 공급망을 침해하는 등 보다 진보된 형태의 침입 활동을 수행할 수 있습니다. 일부 위협 그룹이 고도로 맞춤화된 타겟팅 스피어피싱 메시지를 보내는 반면 APT29 이메일은 매우 일반적일 수 있습니다. 일단 거점이 확보되면 그룹은 일반적으로 멀웨어를 설치하여 시간이 지나도 액세스를 유지하는 데 도움이 되는 백도어를 만듭니다.

추가 리소스 

추가 리소스

추가 리소스

추가 리소스

APT36

의심 국가: 파키스탄

공격 대상: 최소 2013년부터 활동 중인 APT36 침입 캠페인은 지역 라이벌인 인도를 공격 대상으로 삼는 조직적인 노력을 반영하는 동시에 북대서양조약기구(NATO) 및 유엔(UN)과 같이 해당 지역에서 이해관계를 가진 군사 및 정부간 조직을 대상으로 삼는 데 관심을 보이는 것으로 나타났습니다. 또한 APT36은 미국을 포함한 이 지역 외 국가의 여러 산업을 대상으로 삼았습니다.

개요: APT36은 파키스탄의 군사 및 외교적 이익을 위해 정보 수집을 수행하는 오래된 사이버 스파이 공격자입니다.

관련 멀웨어: 이 그룹은 MOONDOOR, SEEPASS, BabylonRAT, SEEKEYS, BREACHRAT, SEEDRIVE, UPDATESEE, MOONRAT, SEEGAP을 포함하되 이에 국한되지 않고 많은 멀웨어 패밀리를 사용합니다.

공격 경로: APT36은 일반적으로 Microsoft Windows 실행 파일과 Microsoft Office 문서(매크로 및 알려진 취약점 악용)가 포함된 악성 첨부파일을 사용하여 스피어피싱을 초기 침해의 주요 방법으로 사용합니다. 이 공격자의 피싱 미끼는 일반적으로 군사 및 정치적 주제를 따릅니다. 또한 이러한 공격자가 웹 취약점이 아닌 소셜 엔지니어링을 이용하는 독특한 워터링 홀 기법을 활용하여 피해자가 악성 Microsoft Office 문서를 다운로드하고 열도록 유도하는 것으로 관찰되었습니다.

APT 35

공격 대상: 미국, 서유럽 및 중동의 군사, 외교 및 정부 관료, 미디어, 에너지 및 방위 산업 기지(DIB), 엔지니어링 조직, 비즈니스 서비스, 통신 부문

개요: 뉴스캐스터 팀(Newscaster Team)으로 불리는 APT35는 이란 정부가 후원하는 사이버 스파이 팀으로, 장기적인 리소스 집약적 공격을 통해 전략 정보를 수집합니다. Mandiant Threat Intelligence에서는 2014년에 APT35의 공격을 관찰한 바 있습니다. APT35는 지금껏 공개적으로 이용 가능한 웹셸과 침투 시험 툴을 비롯하여 다소 복잡한 툴에 의존해 왔는데, 이는 비교적 전문적이지 않은 개발 역량을 보유하고 있는 것을 시사합니다. 하지만, APT35 작전의 수준과 범위는, 특히 복잡한 사회공학적인 기법과 관련이 있어, APT35는 다른 분야에서 리소스가 풍부하다는 점을 시사합니다.

관련된 멀웨어: ASPXSHELLSV, BROKEYOLK, PUPYRAT, TUNNA, MANGOPUNCH, DRUBOT, HOUSEBLEND

공격 경로: APT35는 일반적으로 초기에 조직을 침해하기 위해 의료, 채용공고, 이력서 또는 암호 정책과 관련된 미끼를 흔히 사용하며 스피어피싱에 의존합니다. 그러나 이 그룹이 초기 액세스 권한을 획득할 목적으로, 이전 작전, 전략적 웹 침해 및 외부에 연결된 웹 애플리케이션에 대한 암호 스프레이 공격에서 수집한 인증 정보와 추가 기법을 활용하여 해킹된 계정을 사용하는 모습도 관찰하였습니다.

APT 32

다른 이름: OceanLotus Group

의심 국가: 베트남

공격 대상: 베트남의 제조업, 소비자 제품, 컨설팅, 숙박시설 부문에 투자하는 외국 기업

개요: 베트남의 민간 이해관계를 표적으로 삼는 최근 활동을 봤을 때 APT32는 베트남에서 사업 또는 제조 활동을 하거나 투자를 준비하는 기업들에 위협이 됩니다. 이 활동의 동기에 대한 구체적인 정보는 여전히 알려지지 않았지만 궁극적으로 표적 조직의 경쟁 우위를 잠식할 수 있습니다.

관련된 멀웨어: SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

공격 경로: APT32 공격자는 소셜 엔지니어링 방법을 채택하여 피해자가 매크로를 사용하도록 유도하는 ActiveMime 파일을 활용합니다. 실행 시 시작된 파일이 보통 원격 서버에서 여러 악성 페이로드를 다운로드합니다. APT32 공격자는 스피어피싱 이메일을 사용하여 악성 첨부 파일을 제공합니다. 증거에 따르면 일부는 Gmail을 통해 전송된 것으로 보입니다.

APT 1

다른 이름: Unit 61398, Comment Crew

의심 국가: 중국 인민해방군의 총참모부 3부 2국(군부대 번호인 61398번 부대로 널리 알려짐).

공격 대상: 정보 기술, 항공우주, 행정, 위성 및 통신, 과학 연구 및 컨설팅, 에너지, 운송, 건설 및 제조업, 엔지니어링 서비스, 하이테크 전자, 국제 조직, 법률 서비스, 미디어, 광고 및 엔터테인먼트, 내비게이션, 화학, 금융 서비스, 식품 및 농업, 의료, 금속 및 광업, 교육

개요: APT1은 최소 141개 조직으로부터 수백 테라바이트에 달하는 데이터를 체계적으로 훔쳤으며 수십여 조직의 데이터를 동시에 훔칠 수 있는 역량과 그 의도를 충분히 드러냈습니다. 이 그룹은 영어권 국가에서 다양한 산업에 종사하는 조직을 침해하는 데 주력합니다. APT1의 인프라 규모로 짐작컨데 이 그룹은 최소 수십 명, 최대 수백 명의 공격자를 보유한 대규모 조직인 것으로 여겨집니다.

관련된 멀웨어: TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

공격 경로: 초기 침해에서 가장 흔하게 목격된 방법은 스피어피싱입니다. 이 스피어피싱 이메일에는 악성 첨부 파일 또는 악성 파일에 대한 하이퍼링크가 포함됩니다. 제목 줄과 이메일 본문의 텍스트는 주로 수신인과 관련됩니다. APT1은 실제 사람의 이름을 사용하여 웹메일 계정을 생성하기도 합니다. APT1 공격자는 Poison Ivy 및 Gh0st RAT 등 공개적으로 제공되는 백도어는 가끔 사용하며 대부분 자체적으로 맞춤 설계한 것으로 보이는 백도어를 사용합니다. 네트워크에 머무르는 기간(수년이 될 수도 있음) 동안 APT1은 환경에서 더 많은 시스템을 확보하기 위해 새로운 백도어를 설치합니다. 백도어 하나가 발견되고 삭제되면 다른 백도어를 계속해서 사용합니다. APT1가 몇 주 이상 상주하는 경우 피해자 네트워크의 곳곳에서 다수의 APT1 백도어군이 감지되는 상황을 자주 볼 수 있습니다.