유럽 외교부, DoNot APT 사이버 스파이 공격에 휘말려

해커 그룹 DoNot APT가 유럽의 한 외무부에 대해 은밀하게 사이버 공격을 수행했습니다. 이들은 가짜 이메일과 악성 소프트웨어를 사용하여 전 세계의 감시 전략이 얼마나 발전했는지를 보여주었습니다.

APT-C-35 또는 Mint Tempest로 알려진 사이버 스파이 그룹 DoNot APT가 유럽 외교부를 대상으로 한 비밀 사이버 공격을 벌였음이 Trellix의 연구에 의해 밝혀졌습니다. 2016년부터 인도에서 활동한 이 스파이 그룹은 남아시아 정부와 외교 기관을 주요 타겟으로 삼았으나, 이제 유럽으로 확장하고 있는 것으로 보입니다.

이메일의 제목은 “이탈리아 방위부 참사관의 방글라데시 다카 방문”이었으며, 그 안에는 악성 구글 드라이브 링크가 포함되어 있었습니다. 이 링크를 클릭하면 비밀번호로 보호된 문서가 다운로드되지만, 그 안에는 악성 소프트웨어가 포함되어 있습니다.

문서를 열면, PDF로 위장된 악성 소프트웨어가 피해자의 시스템에 조용히 백도어를 설치합니다. 접근 권한을 얻은 후, 공격자들은 매 10분마다 악성 소프트웨어를 새로고침하는 작업을 실행하여 민감한 데이터를 도난당하게 됩니다. 2018년 이후로, DoNot APT는 LoptikMod를 독점적인 악성 소프트웨어 도구로 사용하였습니다.

연구자들은 공격자들이 바이너리 문자열 내에 악성 코드를 삽입하는 기법을 사용함으로써, 악성 소프트웨어 탐지를 더 어렵게 만들었다는 것을 발견했습니다. 이 악성 소프트웨어는 그 암호화 프로토콜을 통해 개인 시스템 정보를 도용하고, 해당 정보를 명령 및 제어 서버로 보냅니다. 이 서버는 분석 당시 비활성 상태였으며, 이는 탐지를 피하기 위한 것으로 추정됩니다.

전문가들은 정부와 조직들이 이메일 보호 메커니즘을 강화하고, 네트워크 활동을 모니터링하며, 서명 기반 악성 소프트웨어 차단과 피싱 식별을 위한 직원 교육을 실시해야 한다고 권장했습니다.