안녕하세요!
Lotus Blossom(스프링 드래곤, Billbug, Thrip)이라는 정교한 APT(Advanced Persistent Threat) 그룹이
남중국해(South China Sea) 지역의 정부, 제조업, 미디어, 통신 조직을 표적으로 삼아
사이버 스파이 활동을 수행하고 있는 것이 발견되었습니다.
이 공격은 Sagerunex라는 자체 제작된 백도어 악성코드를 활용하며,
Cisco Talos의 최신 연구에서 상세한 공격 체인이 분석되었습니다.
📌 Lotus Blossom APT 개요
🔹 공격 대상:
- 필리핀, 베트남, 홍콩, 대만의 정부 및 산업 조직
- 제조업, 미디어, 통신 인프라
🔹 공격 방식:
1️⃣ 초기 침투 후 WMI(Windows Management Instrumentation) 명령 실행
- 사용자 계정, 네트워크 정보, 실행 중인 프로세스, 디렉토리 구조 탐색
2️⃣ 인터넷 연결 여부 확인 후 백도어 및 해킹 도구 설치
- Sagerunex 및 Venom 프록시 도구 사용
3️⃣ C2(명령제어 서버)와 연결 후 악성코드 추가 배포
🛑 Sagerunex 백도어: Lotus Blossom의 주요 무기
Sagerunex는 2016년부터 개발되어 지속적으로 변종이 등장하고 있는 원격 액세스 트로이 목마(RAT)입니다.
🔹 Sagerunex의 주요 기능:
✔️ Chrome 쿠키 탈취 – 피해자의 브라우저 쿠키를 가로채어 세션 하이재킹 가능
✔️ 권한 상승 도구 사용 – 관리자 권한 확보 후 시스템 장악
✔️ 프록시 릴레이 도구 배포 – 네트워크 탐지 회피 및 C2 트래픽 위장
✔️ 파일 및 폴더 압축 및 탈취 – 기밀 정보 외부 유출
이 백도어는 메모리 내 DLL 인젝션(DLL Injection) 방식을 사용하여 실행되며,
보안 소프트웨어의 탐지를 회피하는 것이 특징입니다.
🎯 Sagerunex의 최신 변종과 탐지 회피 전략
Cisco Talos 연구팀은 기존에 알려지지 않았던 두 가지 변종을 새롭게 발견했습니다.
1️⃣ Dropbox & Twitter API 활용 C2 통신 변종
- 공격자가 C2 서버를 직접 운영하지 않고, 정식 클라우드 서비스를 이용하여 탐지를 회피
- Twitter API를 활용한 명령 전달 및 데이터 유출 가능
2️⃣ Zimbra 이메일 API 이용 변종
- Zimbra 메일 서비스를 활용하여 C2 채널을 형성
- 일반적인 이메일 트래픽으로 위장하여 악성 활동 탐지를 어렵게 만듦
💡 클라우드 및 이메일 API를 활용한 공격은 보안 솔루션의 탐지를 더욱 어렵게 만들며, Lotus Blossom의 적응력과 전략적 변화를 보여줍니다.
🛡️ Lotus Blossom APT 방어 전략
✅ 1️⃣ 네트워크 보안 강화
- Dropbox, Twitter API 및 Zimbra 트래픽 모니터링 및 차단
- 의심스러운 원격 접속 및 데이터 전송 탐지
✅ 2️⃣ 엔드포인트 보안 강화
- DLL 인젝션 탐지 및 차단 솔루션 적용
- 권한 상승 공격 방지를 위한 보안 패치 적용
✅ 3️⃣ 쿠키 탈취 및 세션 하이재킹 방어
- Chrome 브라우저 보안 설정 강화 및 자동 로그아웃 기능 활성화
- 기업 내부 시스템에서 다중 인증(MFA) 필수 적용
✅ 4️⃣ 사이버 위협 인텔리전스 공유 및 대응 프로세스 구축
- 필리핀, 홍콩, 대만 등 관련 국가 및 기업 간의 위협 정보 공유 활성화
- APT 공격 감지 및 대응 팀 운영을 통한 지속적인 모니터링
🚀 결론: Lotus Blossom APT의 지속적인 위협에 대비해야 한다!
이번 Sagerunex 백도어 및 클라우드 기반 C2 변종의 발견은 Lotus Blossom이 더욱 정교한 사이버 스파이 전략을
사용하고 있음을 보여줍니다.
📢 정부 및 기업들은 네트워크 트래픽 모니터링을 강화하고,
이메일 및 클라우드 API를 활용한 공격에 대비한 탐지 및 대응 전략을 구축해야 합니다!
💡 중국, 필리핀, 홍콩, 대만을 포함한 남중국해 지역의 기업과 기관들은 적극적인 보안 조치를 취해야 하며,
APT 공격에 대한 최신 정보를 지속적으로 확인해야 합니다. 🔒🚀
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🚨 Crafty Camel APT 공격: UAE 항공 및 산업 인프라를 노리는 정교한 해킹 캠페인 (0) | 2025.03.08 |
|---|---|
| 🚨 엘론 머스크의 최측근, 브랜든 스파이크스(Branden Spikes)는 누구인가? (3) | 2025.03.07 |
| 🔍 안드로이드 잠금화면 뚫린다?! Cellebrite 제로데이 악용 사건 (1) | 2025.03.04 |
| 🕵️ Anubis 위협 그룹: 주요 산업을 노리는 사이버 악당! (1) | 2025.03.01 |
| 🕵️ 중국 해커들의 OT 산업 겨냥: VPN 취약점 악용한 APT41의 스파이 작전 (2) | 2025.02.28 |