中 사이버 스파이 조직, 동남아 외교관 해킹

지난 3월 중국 연계 해킹 조직 ‘UNC6384’가 동남아시아 외교관을 비롯해 전 세계 주요 인사를 목표로 한 사이버 스파이 활동을 포착됐다.

해커들은 인터넷 접속 단계에서 피해자의 웹 브라우저 트래픽을 가로채 ‘플러그인 업데이트’로 위장한 악성 프로그램을 내려받게 한 뒤, 이를 통해 다단계 백도어인 ‘SOGU.SEC(일명 플러그X)’을 메모리에 심은 것으로 분석됐다.

26일 구글 위협정보그룹(GTIG)은 이번 작전을 중국의 전략적 이익에 부합하는 고도의 사이버 첩보 활동이라고 평가했다.

UNC6384의 공격은 ‘캡티브 포털 하이재킹’을 시작으로 진행됐다. 브라우저의 네트워크 연결 테스트를 가로채자, 이용자는 위조된 업데이트 페이지로 리디렉션됐고, 여기에서 ‘Adobe 플러그인 설치’ 버튼을 누르면 악성 파일이 다운로드 된다.

악성 파일은 합법적 기업 명의의 유효한 코드 서명 인증서를 사용해 신뢰를 얻었다. 브라우저에도 보안 경고가 표시되지 않았다. 또 악성코드는 정상 프로그램으로 위장하고 윈도우 보안 기능을 피해 실행되도록 설계됐다.

이번 공격에서 사용된 ‘STATICPLUGIN’과 ‘CANONSTAGER’ 등 다단계 페이로드는 암호화·콜백 함수·메시지 큐 기법 등을 활용해 흔적을 남기지 않고 숨은 채 백도어를 구동했다. 최종적으로 배치된 SOGU.SEC는 시스템 정보 수집, 파일 업·다운로드, 원격 명령 실행까지 가능한 고도화된 후면 도구로 확인됐다.

구글은 “피해가 확인된 지메일 및 워크스페이스 사용자에게 정부 후원 공격자 경고를 발송했다”며, 모든 사용자에게 ▲크롬 브라우저 ‘향상된 안전 브라우징’ 활성화 ▲기기 최신 업데이트 ▲계정 2단계 인증 설정 등을 권고했다. 아울러 관련 악성 도메인과 URL, 해시값은 구글 세이프 브라우징에 모두 등록돼 차단된다.

Related Materials

• 2024년 사이버위협 결산 보고서: 공급망 공격과 LLM 취약점 악용 사례 - S2W, 2024년
• 2023년 사이버 보안 위협 분석 및 2024년 전망 발표 - 과학기술정보통신부 기반, 2023년
• 일본 공급망 강화를 위한 보안대책 평가제도 중간보고서 - 경제산업성(METI), 2025년
• SW 공급망 보안 국내외 현황과 기업 대응방안 - 시놉시스 2024 오픈소스 보안 및 위험 분석, 2024년

北보단 中해킹 조직...국내 대규모 공격 주범 ‘농후’

💡Editor Pick - ‘APT-Down Revisited: 국가지원해킹그룹 해킹자료 분석’ 보고서 발표 - APT31 해킹 그룹 근거, Rootkit 및 악성코드·이반티 VPN 공격코드 - 비콘·공격자 행위 분석·TTP 기반 분석 결과 등 제시 데프콘서 프랙잡지를 통해 공개된 국내 대규모 해킹 공격 주범이 중국 해커 조직일 가능성이 높단 연구 결과가 나왔다. 중국

The Tech EdgeCheifEditor

중국 공안, 휴대폰 압수 후 ‘매시스턴트’로 GPS·문자·사진까지 싹쓸이…신형 모바일 포렌식 도구 실체 드러나

💡Editor Pick - 중국 공안 휴대폰 압수 이후 내부 정보 수집 - iOS 변종 가능성까지도 제기되고 있음 중국 공안이 압수한 휴대폰에서 위치정보·문자·이미지 등 민감 데이터를 무단 추출할 수 있는 신형 모바일 포렌식 도구 ‘매시스턴트(Massistant)’의 작동 방식과 배경이 공개됐다. 해당 도구는 MFSocket의 후속 버전으로, 전자증거 수집·정보보안

The Tech EdgeCheifEditor

[칼럼] 100km 위에서 얼굴 식별? 중국 스파이 위성 충격

“100km 위에서 얼굴 식별가능? 중국 스파이 위성 충격적 발전과 우리의 과제” [최성환 한화시스템 전문위원/전 공군 우주센터장] 최근 중국이 저궤도에서 사람의 얼굴 특징까지 식별 가능한 강력한 스파이 위성을 개발했다는 소식은 전 세계 우주안보 전문가들에게 큰 충격을 안겨주고 있다. 이는 단순히 우주기반 관측위성의 감시 역량 향상을 넘어, 미래 정보전의 판도를 바꿀

The Tech EdgeCheifEditor