카스퍼스키 “허니마이트 APT, 정부·외교기관 집중 공격” 작성일 02-04 19 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="9t5SRDyOOz"> <figure class="figure_frm origin_fig" contents-hash="b718bfb08c841e9382ed0669b40ba50d1a6cdb90cd3a587b03cb0d56ec1a3f1b" dmcf-pid="2F1vewWIm7" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/04/etimesi/20260204144437706hdjd.png" data-org-width="582" dmcf-mid="Kx6qO1Kpmq" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/04/etimesi/20260204144437706hdjd.png" width="658"></p> </figure> <p contents-hash="611394e9d435a298e55c310352465fd0927768909287209fa8ab3c720e50071b" dmcf-pid="V3tTdrYCIu" dmcf-ptype="general">카스퍼스키는 4일 아시아와 러시아 지역 정부기관을 겨냥한 '허니마이트(HoneyMyte)' 지능형 지속 위협(APT) 공격의 최신 동향을 공개했다.</p> <p contents-hash="c661deff845804a5ebc802841f83464ff61b27329619100e9823431bab5df2cc" dmcf-pid="f0FyJmGhDU" dmcf-ptype="general">카스퍼스키 글로벌 연구·분석팀(GReAT)에 따르면 허니마이트 APT는 미얀마, 몽골, 말레이시아, 태국, 러시아를 대상으로 공격을 전개했으며 주요 표적은 정부 및 외교 기관이었다.</p> <p contents-hash="bd3e6372d4af6467fb0da418feb9bcefbe996f60854a257f304985b964bf1d75" dmcf-pid="4p3WisHlrp" dmcf-ptype="general">이번 공격은 '쿨클라이언트(CoolClient)' 백도어의 기능을 확장해 클립보드와 웹브라우저, 프록시 서버 자격 증명 등 민감 정보를 폭넓게 탈취하는 것이 특징이다.</p> <p contents-hash="c819d1915f4caeb5152bc661220af795296811985d7f14d01390b30f1345c70a" dmcf-pid="8U0YnOXSr0" dmcf-ptype="general">연구진은 최신 쿨클라이언트 백도어가 DLL 사이드로딩(DLL side-loading) 기법을 활용한다고 설명했다. 이는 정상적으로 디지털 서명된 실행 파일이 같은 경로에 위치한 악성 DLL 파일을 불러오도록 유도하는 방식이다.</p> <p contents-hash="b8e36f2210f954c0ab56f52572f1b80b6cd55112571fb0121f6143080abaa349" dmcf-pid="6upGLIZvr3" dmcf-ptype="general">공격자는 2021년부터 2025년까지 다양한 합법 소프트웨어의 서명된 실행 파일을 악용해 왔으며, 최근 공격에서는 중국 보안 솔루션 업체 '상포어(Sangfor)'의 서명된 애플리케이션이 사용된 것으로 분석됐다.</p> <p contents-hash="37951084525ff9e2dc2ff7cb6432a40dd6aa9eaa2e1de5086cfc5ed2f9c00e9a" dmcf-pid="P7UHoC5TmF" dmcf-ptype="general">새 버전에는 클립보드 모니터링과 활성 창 추적 기능이 추가돼 복사된 데이터와 함께 창 제목, 프로세스 ID, 타임스탬프가 수집된다. HTTP 프록시 서버 인증 정보를 탈취하는 기능도 새롭게 확인됐다.</p> <p contents-hash="227748238debf682632223140551e0f47ceabec5a55d20d733c7c833d1dadbc1" dmcf-pid="QzuXgh1yrt" dmcf-ptype="general">연구진은 허니마이트가 시스템 정보 수집과 문서 유출, 브라우저 저장 자격 증명 탈취를 위해 여러 스크립트를 사용했으며, 일부 크롬 자격 증명 탈취 악성코드는 과거 톤셸(ToneShell) 계열 악성코드와 코드 유사성을 보였다고 설명했다.</p> <p contents-hash="74e5f03e2259ff1687ff0503b9b64a71962ee1c79ba90b3936a7f2080828139f" dmcf-pid="xq7ZaltWm1" dmcf-ptype="general">박진형 기자 jin@etnews.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 이성경 ‘백조세탁소’ 출연하나? “검토 중인 작품 중 하나”[공식입장] 02-04 다음 “3~4년 안에 새 사람과”…‘48세’ 하지원, 결혼하나?(‘당일배송 우리집’) 02-04 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
