공격자는 합법적인 클라우드 컴퓨팅 서비스를 이용해 맬웨어를 관리하고 복잡하고 다단계의 공격 파이프라인을 구축해 침입 탐지 시스템을 우회합니다. 이를 통해 악의적인 사람들은 피해자의 네트워크 시스템에 맬웨어를 퍼뜨리고, 원격 제어 도구를 설치하고, 장치를 제어하고, 기밀 정보를 훔치고 삭제할 수 있습니다.

이 캠페인은 대만, 말레이시아, 중국, 일본, 태국, 홍콩, 한국, 싱가포르, 필리핀, 베트남 등 아시아 태평양 (APAC) 지역의 여러 국가와 영토에 있는 정부 기관과 중공업 조직을 대상으로 했습니다. 해커는 악성 코드가 포함된 압축 파일을 세무 관련 문서로 위장하여 이메일과 WeChat, Telegram과 같은 메시징 앱을 통해 피싱 캠페인을 통해 이를 퍼뜨립니다. 시스템에 복잡한 다층 맬웨어를 설치하는 과정을 거친 후, 사이버 범죄자는 FatalRAT이라는 백도어를 설치합니다.

이 캠페인은 Gh0st RAT, SimayRAT, Zegost, FatalRAT와 같은 오픈 소스 원격 액세스 맬웨어(RAT)를 사용하는 이전 공격과 몇 가지 유사점을 공유합니다. 전문가들은 중국어를 사용하는 조직과 기관을 타깃으로 한 전술, 기술, 운영 방법 모두에 상당한 변화가 있음을 목격했습니다.

이 공격은 콘텐츠 전송 네트워크(CDN) myqcloud와 호스팅 서비스 Youdao Cloud Notes를 통해 수행되었습니다. 이 두 가지는 모두 합법적인 중국 클라우드 컴퓨팅 플랫폼입니다. 탐지 및 예방을 피하기 위해 해커는 다음과 같은 여러 가지 기술을 사용했습니다. 추적 가능성을 줄이기 위해 제어 서버와 맬웨어 페이로드를 지속적으로 변경하고, 보안 시스템을 "우회"하기 위해 합법적인 웹사이트에 맬웨어를 저장하고, 합법적인 소프트웨어의 취약점을 악용하여 공격을 전개하고, 맬웨어를 활성화하기 위해 소프트웨어의 합법적 기능을 활용하고, 비정상적인 활동을 숨기기 위해 파일과 네트워크 트래픽을 암호화합니다.

카스퍼스키는 사이버 범죄자들이 정교한 전술과 끊임없이 변화하는 방법을 통해 네트워크 방어를 교묘하게 회피하는 모습을 묘사하기 위해 이 캠페인에 SalmonSlalom이라는 이름을 붙였습니다. 마치 장애물을 극복하기 위해 인내심과 독창성이 필요한 빠르고 힘든 여정을 헤엄치는 연어와 유사합니다.

카스퍼스키 ICS CERT 책임자인 예브게니 곤차로프는 "사이버 범죄자들은 ​​운영 기술(OT) 환경에서도 목표를 달성하기 위해 비교적 간단한 기술을 사용합니다."라고 말했습니다. 이 캠페인은 아시아 태평양 지역의 중공업 기업들에게 악의적인 공격자들이 OT 시스템에 원격으로 침투할 수 있다는 경고를 전달합니다. 기업들은 이러한 위협에 대한 인식을 높이고, 방어 체계를 강화하며, 사이버 공격으로부터 자산과 데이터를 보호하기 위해 선제적으로 대응해야 합니다.