깊이 있는 속임수: PRC-Nexus 스파이 캠페인이 ... 노트

깊이 있는 속임수: PRC-Nexus 스파이 캠페인이 외교관을 표적으로 삼기 위해 웹 트래픽을 가로챔

Google 위협 인텔리전스 그룹은 중국(PRC) 연계 행위자인 UNC6384가 동남아시아 외교관을 대상으로 복잡한 사이버 스파이 캠페인을 벌이고 있음을 파악했습니다. 이 캠페인은 사용자를 악성 웹사이트로 리디렉션하기 위해 캡티브 포털 하이재킹을 사용합니다. 그런 다음 디지털 서명된 다운로더인 STATICPLUGIN이 전달되어 공격을 시작합니다. 궁극적인 목표는 PlugX로도 알려진 SOGU.SEC 백도어를 메모리에 배포하는 것입니다. 공격 체인은 유효한 코드 서명 인증서와 중간자 공격 기법을 포함한 고급 소셜 엔지니어링을 사용합니다. Google은 영향을 받은 개인에게 경고하고 보안 조치를 강화함으로써 사용자 보호를 적극적으로 수행하고 있습니다. 또한 파악된 악성 리소스를 Google 세이프 브라우징 목록에 추가했습니다. 멀웨어 페이로드는 대상자를 속이기 위해 소프트웨어 또는 플러그인 업데이트로 위장합니다. 이 캠페인은 초기 멀웨어를 전달하기 위해 Adobe 플러그인 업데이트로 위장한 캡티브 포털 하이재킹을 활용합니다. 랜딩 페이지는 합법적인 소프트웨어 업데이트 사이트를 모방하고 신뢰도를 높이기 위해 유효한 TLS 인증서와 함께 HTTPS를 사용합니다. Google은 사용자에게 향상된 세이프 브라우징 활성화, 기기 업데이트 유지, 2단계 인증 사용을 권장합니다.
CdXz5zHNQW_TP1M7SZQDA.png