남아시아서 유럽으로... 통신·기간시설 노리는 UAT-7290, ‘글로벌 위협 세력’으로 부상
러시드롭·드라이브스위치·사일런트레이드... 에지 장비 겨냥 리눅스 전용 공격 체계 구축

[보안뉴스 김형근 기자] 최소 2022년부터 남아시아 주요 통신 업체와 국가 기간 시설을 집중 공격해온 공격 주체 UAT-7290가 최근 유럽까지 세력을 확장하며 세계적 영향력을 확보하려는 야심을 노골적으로 드러냈다.


[자료: gettyimagesbank]

시스코탈로스 분석에 따르면, 이 그룹은 중국 정부와의 연관성이 강력히 의심되는 고도의 기술력을 보유하고 있다.

이들은 시스템 침투 후 다른 해커들에게 통로를 판매하는 초기 접근 제공자(IAB) 역할도 수행하며 사이버 범죄 생태계의 거점 역할을 하고 있다.

특히 네트워크 최전방인 에지 장치를 장악하기 위해 리눅스 전용 악성코드인 러시드롭, 드라이브스위치, 사일런트레이드 체계를 구축했다.

러시드롭은 실행 직후 가상 환경(VM) 여부를 확인해 보안 전문가의 탐지를 교묘히 회피하는 지능적 면모를 보였다.

분석을 통과하면 시스템에 ‘.pkgdb’라는 숨겨진 폴더를 생성하고, 정상 도구인 비지박스를 함께 설치해 공격 명령을 일반 프로세스처럼 은닉한다.

핵심 프로그램인 사일런트레이드는 모듈형 플러그인 방식을 채택해 공격 대상의 환경에 맞춰 기능을 자유자재로 조합하는 맞춤형 공격의 극치를 보여줬다.

이 악성코드는 원격 셸 실행과 포트 포워딩 기능을 통해 감염된 시스템에 대한 완전한 제어권을 확보하고 내부망으로 침투를 확대했다.

또 구글 공용 DNS(8.8.8.8)를 활용해 명령제어(C2) 서버와 통신함으로써, 악성 트래픽을 정상 트래픽으로 위장해 보안 장비의 감시망을 무력화시켰다.

이런 정교한 도구는 단순한 데이터 탈취를 넘어 한 국가의 통신망 전체를 마비시킬 수 있는 치명적인 잠재적 위협이라는 평가다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>