Kaspersky Lab Korea | 새소식

새소식 리스트

러시아어를 사용하는 제브로시(Zebrocy) APT 그룹의 최근 행적 - 전 세계적으로 APT 공격을 진행하고 있는 것으로 확인
 
제브로시는 2013년에 발견된 APT 그룹의 하위 그룹으로 현재도 활동하고 있는 것으로 확인된다. 이 그룹은 정부 기관, 외교 관련 기관 및 군사 관련 기관을 그 주요 공격 대상으로 삼고 있으며, 이들의 스피어피싱 및 침입 활동은 2018년에 가장 활발하였다. 제브로시의 인프라, 악성 코드 및 공격 대상은 러시아를 사용하는 APT 그룹인 Sofacy 및 BlackEnergy와 유사하거나 겹치지만 여전히 이 두 그룹과는 별개로 남아 있다.
이 제브로시 그룹에 대하여 5년간에 걸쳐 그 특징들을 조사한 결과 아래와 같은 결론에 도달하였다.

최근 발견 사항: 제브로시는 악성 코드 제작 시 Nim 코딩을 추가하여 최신 백도어 및 다운로더를 만들었고 이를 새로운 공격에 사용하고 있다.

• 2019년 4월부터 카스퍼스키랩 연구진은 새로운 다운로더로 배포된 신종 제브로시 백도어를 확인했다.

• 제브로시는 명백히 C 코딩을 다시 사용하기 시작했으며 Nim(2008년에 공개된 프로그래밍 언어)을 사용한 툴도 개발하기 시작했다. 이 새로운 Nim 다운로더에 대해서는 정밀한 추가 분석을 통하여 추후 자료를 공개할 예정이다.

• 새로운 다운로더를 이용한 스피어피싱 공격이 아래 국가를 포함한 전 세계를 대상으로 관찰되었다.

- 카자흐스탄
- 타지키스탄
- 투르크메니스탄
- 독일
- 키르기스스탄
- 영국
- 미얀마
- 시리아
- 우크라이나
- 아프가니스탄
- 탄자니아
- 이란

제브로시 APT 그룹에 대한 최근 행적은 아래 블로그포스트에서 확인하시기 바랍니다.
https://securelist.com/zebrocys-multilanguage-malware-salad/90680/

이전 제브로시 관련 자료는 아래에서 확인할 수 있습니다.
https://securelist.com/greyenergys-overlap-with-zebrocy/89506/
https://securelist.com/a-zebrocy-go-downloader/89419/
https://securelist.com/masha-and-these-bears/84311/