해킹 그룹 ‘지구의 에스트리’가 세계 산업을 대상으로 스파이 활동을 벌이고 있습니다

중국 해킹 그룹인 ‘어스 에스트리스(Earth Estries)’는 고도의 악성 코드를 이용하여 전 세계 산업을 대상으로 취약점을 악용하고 중요한 부문에서 장기 간첩 활동을 수행하고 있습니다.

최근에는 Salt Typhoon이 중국과 연결된 스파이 작전으로 인해 미국의 통신 거물들인 버라이즌, AT&T, Lumen Technologies, T-Mobile 등을 타격한 것으로 주목받았습니다. 이는 The Record에서 언급했습니다. 공격자들은 보고서에 따르면 고객의 통화 데이터에 접근하였으며, 그 중심에는 정부나 정치 활동과 연계된 개인들이 있었습니다.

월요일에, 사이버 보안 회사 트렌드 마이크로는 보고서에서 ‘어스 에스트리스(Earth Estries)’라는 차이나 사이버 스파이 그룹과 연관된 또 다른 캠페인을 발표했습니다. 그들은 이를 ‘Salt Typhoon’이라고 부르며, 이번에는 ‘GhostSpider’라는 새로운 백도어 도구를 이용해 동남아 통신사를 목표로 삼았습니다.

‘어스 에스트리스’라는 중국 사이버 스파이 그룹은 2023년부터 전 세계의 중요 산업들, 특히 통신과 정부 부문을 대상으로 공격을 해왔습니다.

해당 그룹은 미국, 아시아-태평양 지역, 중동, 남아프리카에 걸쳐 20개 이상의 조직으로 침투해, 고도의 기술을 활용해 장기 감시 작업을 수행했습니다. 피해자들에는 기술, 컨설팅, 화학, 운송 산업의 회사들 뿐만 아니라 비영리 단체와 정부 기관들도 포함되어 있습니다.

Earth Estries는 공개 서버의 취약점을 악용하여 초기 접근을 얻고, ‘현지에서 먹고사는 바이너리’라고 알려진 합법적인 시스템 도구를 사용하여 네트워크 내에서 눈에 띄지 않게 이동합니다.

한 번 내부로 진입하면, 이 그룹은 GHOSTSPIDER, SNAPPYBEE, MASOL RAT과 같은 커스텀 맬웨어를 배포하여 제어권을 확보하고 민감한 정보를 추출합니다.

최근의 공격에서 GHOSTSPIDER, 모듈식 백도어는 특정 작업에 대해 다양한 도구를 로드하도록 설계되어 있음이 밝혀졌습니다. 이를 통해 그룹은 감지를 피하면서 전략을 적응시킬 수 있습니다. 이 그룹의 작업은 다양한 팀이 각각의 캠페인을 관리하는 등 높은 수준의 조정력을 보여줍니다.

그들의 전략, 기술, 그리고 절차들이 다른 중국 해킹 그룹들과 겹치는 부분들은 공유된 도구들을 시사하며, 아마도 지하 시장에서 악성 소프트웨어를 서비스로 제공하는 것을 통해 가능하게 되었을 것입니다.

Earth Estries에 대한 조사들은 그들이 통신과 정부 네트워크에 초점을 맞추고 있음을 강조하며, 종종 공급업체 시스템을 목표로 하여 그들의 주요 목표에 간접적으로 접근하려고 합니다.

한 사례에서, 그들은 DEMODEX 루트킷을 사용하여 주요 통신 계약업체의 기계를 침해하고, 그들이 감지되지 않고 그들의 영역을 확장할 수 있도록 했습니다.

분석가들은 Earth Estries의 작업이 엣지 디바이스에서 클라우드 시스템까지 확장되는 것을 언급하며, 이로 인해 그들을 식별하고 완화하는 것이 특히 어렵다고 지적합니다.

그들의 기법은 서버 취약점을 악용하고, 목표 네트워크 내에 장기간 머무를 수 있도록 정교한 도구를 배치하는 것을 포함합니다. 전문가들은 Earth Estries의 활동이 사이버 스파이 캠페인의 복잡성이 증가하고 있다는 것을 보여준다고 경고하고 있습니다.

조직들은 알려진 취약점을 해결하고 네트워크 활동을 모니터링하며, 공격이 초기 단계에서 탐지하고 차단할 수 있는 고급 위협 탐지 시스템을 배치함으로써 자신들의 사이버 보안 방어를 강화할 것이 요구됩니다.

트렌드 마이크로는 지구 에스트리즈가 그 전략을 계속 발전시키며 전 세계 산업과 정부에 심각한 위협을 끼치는 상황에서 예방적인 조치의 필요성을 강조합니다.