플러그X(PlugX) 악성코드의 새로운 변종 유포하는 공격 캠페인
[보안뉴스 김형근 기자] 중앙아시아 및 남아시아의 통신·제조 산업을 겨냥해 플러그X(PlugX) 악성코드의 새로운 변종을 유포하는 공격 캠페인이 벌어지고 있다.
이 캠페인은 중국 연계 해킹 그룹인 로투스판다(LotusPanda)와 백도어디플로머시(BackdoorDiplomacy)의 활동과 깊이 연관돼 있는 것으로 나타났다. .
사이버 보안 연구 조직 시스코 탈로스 연구원들은 “이 새로운 플러그X 변종이 레이니데이(RainyDay) 및 투리안(Turian) 백도어의 기능을 섞어 놓았다”고 분석했다.
레이니데이는 ‘나이콘 APT’(Naikon APT)라고도 불리는 로투스판다가, 투리안은 백도어디플로머시가 중동을 겨냥해 공격할 때 주로 사용하는 멀웨어다.
[자료: 시스코 탈로스]
이 플러그X 변종은 페이로드 암호화 방식, 암호화 키 재사용, 합법 앱을 악용한 DLL 사이드 로딩 기법 등을 레이니데이나 투리안 등과 공유하는 것으로 확인됐다.
카자흐스탄 통신사 공격 등 두 그룹이 타깃 선택에서 일치하는 패턴도 발견됐다. 시스코 탈로스는 로투스판다가 카자흐스탄의 한 통신사를 겨냥해 저지른 공격을 탐지한 바 있고, 백도어디플로머시는 앞서 카자흐스탄에 인접한 우즈베키스탄을 공격하기도 했다.
이러한 기술적, 지리적 중첩은 로투스판다와 백도어디플로머시가 사실상 같은 그룹이거나, 공통된 소프트웨어 도구 제작자에게서 도구를 공급 받고 있을 가능성을 높인다. 두 그룹 모두 남아시아 국가들을 집중적으로 노리는 패턴을 보이는 것도 공통점이다.
공격은 정식 실행 파일을 악용해 악성 DLL을 사이드 로딩한 후, 메모리에서 플러그X 페이로드를 실행하는 방식으로 진행됐다.
플러그X는 임베디드 키로거 플러그인을 포함하고 있어 심각한 정보 탈취가 우려되는 악성코드다.
시스코 탈로스는 이러한 유사성을 근거로 이번 캠페인이 중국어 사용자와 어느 정도의 연관성이 있다고 결론을 내렸다.
한편, 팔로알토 네트웍스 유닛42는 또 다른 중국 연계 그룹인 무스탕판다가 사용하는 북웜(Bookworm) 악성코드의 모듈화된 특성을 발견해 발표했다.
중국과 연계된 해킹 조직들이 여러 악성코드를 동시다발적으로 개발하고 적용하는 장기적인 활동을 이어가고 있다는 점이 이번 분석으로 다시 한번 드러났다는 설명이다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 중앙아시아 및 남아시아의 통신·제조 산업을 겨냥해 플러그X(PlugX) 악성코드의 새로운 변종을 유포하는 공격 캠페인이 벌어지고 있다.
이 캠페인은 중국 연계 해킹 그룹인 로투스판다(LotusPanda)와 백도어디플로머시(BackdoorDiplomacy)의 활동과 깊이 연관돼 있는 것으로 나타났다. .
사이버 보안 연구 조직 시스코 탈로스 연구원들은 “이 새로운 플러그X 변종이 레이니데이(RainyDay) 및 투리안(Turian) 백도어의 기능을 섞어 놓았다”고 분석했다.
레이니데이는 ‘나이콘 APT’(Naikon APT)라고도 불리는 로투스판다가, 투리안은 백도어디플로머시가 중동을 겨냥해 공격할 때 주로 사용하는 멀웨어다.
[자료: 시스코 탈로스]
이 플러그X 변종은 페이로드 암호화 방식, 암호화 키 재사용, 합법 앱을 악용한 DLL 사이드 로딩 기법 등을 레이니데이나 투리안 등과 공유하는 것으로 확인됐다.
카자흐스탄 통신사 공격 등 두 그룹이 타깃 선택에서 일치하는 패턴도 발견됐다. 시스코 탈로스는 로투스판다가 카자흐스탄의 한 통신사를 겨냥해 저지른 공격을 탐지한 바 있고, 백도어디플로머시는 앞서 카자흐스탄에 인접한 우즈베키스탄을 공격하기도 했다.
이러한 기술적, 지리적 중첩은 로투스판다와 백도어디플로머시가 사실상 같은 그룹이거나, 공통된 소프트웨어 도구 제작자에게서 도구를 공급 받고 있을 가능성을 높인다. 두 그룹 모두 남아시아 국가들을 집중적으로 노리는 패턴을 보이는 것도 공통점이다.
공격은 정식 실행 파일을 악용해 악성 DLL을 사이드 로딩한 후, 메모리에서 플러그X 페이로드를 실행하는 방식으로 진행됐다.
플러그X는 임베디드 키로거 플러그인을 포함하고 있어 심각한 정보 탈취가 우려되는 악성코드다.
시스코 탈로스는 이러한 유사성을 근거로 이번 캠페인이 중국어 사용자와 어느 정도의 연관성이 있다고 결론을 내렸다.
한편, 팔로알토 네트웍스 유닛42는 또 다른 중국 연계 그룹인 무스탕판다가 사용하는 북웜(Bookworm) 악성코드의 모듈화된 특성을 발견해 발표했다.
중국과 연계된 해킹 조직들이 여러 악성코드를 동시다발적으로 개발하고 적용하는 장기적인 활동을 이어가고 있다는 점이 이번 분석으로 다시 한번 드러났다는 설명이다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)