MS 익스체인지 서버 노리는 중국의 APT 단체, 지금도 늘고 있다

2021-07-30 11:48
  • 카카오톡
  • url
MS의 익스체인지 서버에서 발견된 취약점은 처음부터 중국의 APT 단체들이 익스플로잇하고 있었다. 그리고 지금도 각종 중국 APT가 노리고 있다. 패치가 나왔지만 이 사태는 아직 끝나지 않았다.

[보안뉴스 문가용 기자] 마이크로소프트가 익스체인지 서버(Exchange Server)에서 발견된 제로데이 취약점 4개를 패치한 것이 지난 3월의 일이다. 패치가 나오고서 며칠 후 한 공격 단체가 고급 멀웨어를 이 취약점을 통해 유포하기 시작했다. 공격자들은 중국어를 구사하고 있었고, 피해자들은 동남아시아의 통신사들과 정부 기관들인 것으로 분석됐다.


[이미지 = utoimage]

이러한 공격 현황을 발견한 건 보안 업체 카스퍼스키(Kaspersky)로, 현재 이 공격 단체를 ‘고스트엠퍼러(GhostEmperor)’라고 부르고 있다. 마이크로소프트 익스체인지의 취약점 연구를 하다가 우연히 발견한 자들이라고 한다. 카스퍼스키에 따르면 고스트엠퍼러는 이제까지 한 번도 발견되지 않았던 윈도 커널 룻키트를 활용하고 있으며, 윈도 드라이버 시그니처 인포스먼트(Windows Driver Signature Enforcement)를 회피하기 위해 치트엔진(Cheat Engine)이라는 오픈소스 도구를 활용한다는 점에서 “독특하다”고 한다.

“고스트엠퍼러는 이번 캠페인을 진행할 때 다단계 멀웨어 프레임워크를 사용했습니다. 이 프레임워크는 대단히 기술 수준이 높으며, 피해자의 서버를 공격자가 원격에서 제어할 수 있도록 만듭니다. 여태까지 카스퍼스키가 발견한 그 어떤 멀웨어와도 유사성을 갖고 있지 않으며, 2020년 7월부터 사용되어 온 것으로 보입니다.” 카스퍼스키의 설명이다.

“한편 치트엔진은 사용자가 게임의 메모리를 조작함으로써 비디오 게임을 유리하게 진행할 수 있도록 해 주는 프로그램입니다. 오픈소스로 배포되고 있죠. 예를 들어 게임 내 무기의 힘을 높인다든가, 점수를 조작한다든가 하는 식으로 활용됩니다.” 카스퍼스키의 분석가인 아리엘 융하이트(Ariel Jungheit)의 설명이다. “이 치트엔진에는 dbk64.sys라는 ‘서명된’ 드라이버가 탑재되어 있습니다. 공격자는 이 드라이버를 악용해서 자신들이 사용하는 윈도 커널 룻키트를 피해자의 시스템에 로딩합니다.”

융하이트는 고스트엠퍼러가 마이크로소프트 익스체인지 서버의 취약점을 익스플로잇 함으로써 피해자들의 시스템에 접근하는 것을 목격했다고 설명한다. 하지만 그것 외에도 다른 전략을 구사할 줄 안다고 말한다. “MS의 마이크로소프트 익스체인지에서 발견된 제로데이 취약점들은 이들이 활용한 여러 공격 루트 중 하나였을 뿐입니다. 꽤나 다양한 기법을 사용해 침투할 줄 아는 자들입니다.”

계속해서 카스퍼스키는 “마이크로소프트 익스체인지 취약점을 익스플로잇 하려 했던 공격 단체는 수도 없이 많고, 고스트엠퍼러는 그 중 하나”라고 설명한다. 처음 익스체인지의 제로데이 취약점이 공개되었을 때는 중국의 APT 단체인 하프늄(Hafnium)이 익스플로잇 하고 있다고 발표됐었다. 하프늄의 경우 패치가 나오기 전부터 이 제로데이 취약점들을 파악해 이용하고 있었다.

이 소식이 알려지자 갑자기 수많은 공격자들이 몰려들었다. 익스체인지 취약점을 익스플로잇 하려는 시도가 전 세계적으로 급증한 것이다. 그러자 FBI와 같은 주요 정부 기관들이 패치 적용을 서두르라고 권고하기 시작했다. 고스트엠퍼러의 발견은 ‘익스체인지 사태가 끝나지 않았다’는 것을 시사한다.

실제로 카스퍼스키는 “고스트엠퍼러 외에도 다른 중국 APT 단체들이 익스체인지를 익스플로잇 하는 것을 발견했다”고 설명을 이어간다. “그 중 하나는 지르코늄(ZIRCONIUM)이라는 단체입니다. 정부, 금융, 국방, 항공 분야의 조직들을 노리는 중국 APT로 알려져 있습니다. 유럽의 가정용 및 소기업용 라우터들을 주로 공략해 왔습니다. 이들은 코발트 스트라이크(Cobalt Strike)라는 공격 키트를 유포하는 데 익스체인지 취약점을 활용했습니다.”

바운티클래드(BountyClad)라는 APT 단체 역시 익스체인지 서버를 익스플로잇 하는 주요 조직이라고 카스퍼스키는 덧붙인다. 지난 2월 몽골의 인증서 발급 기관(CA)를 침해함으로써 악성 다운로더를 유포시킨 장본인들로, 역시 중국어를 구사하는 것으로 알려져 있다. 홍콩의 웹스피어(WebSphere) 및 웹로직(WebLogic) 서버 공격과, 미국 코로나 연구 단체를 겨냥한 공격을 감행한 적이 있다. 이들 역사 익스체인지 서버 익스플로잇에 참여했다고 카스퍼스키는 설명한다.

카스퍼스키의 보안 연구원인 데이비드 엠(David Emm)은 “APT 그룹들은 고급 공격 도구를 스스로 개발해 활용하기도 하지만, 뜻하지 않은 기회가 생겼을 때 그것을 적극적으로 활용하기 위해 발 빠르게 움직일 줄도 안다”고 경고한다. “MS 익스체인지 사태와 같은 경우 투자를 덜 하고도 비슷한 공격 효과를 누릴 수 있게 해 준다는 걸 간파한 것이죠. 특히 중국의 APT는 국가 발전을 목표로 해킹 공격을 실시하기 때문에 무척이나 유연하게 움직입니다.”

3줄 요약
1. 마이크로소프트 익스체인지 서버 사태, 아직 끝나지 않음.
2. 왜냐하면 아직도 고급 APT 공격자들이 익스플로잇 하고 있기 때문.
3. 특히 중국의 APT 단체들이 보여주는 유연성이 위협적.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 유니뷰코리아

    • 웹게이트

    • 한화시스템

    • 하이크비전코리아

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 비전정보통신

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 다누시스

    • 엔토스정보통신

    • ITX_AI

    • Tiandy

    • 성현시스템

    • 씨엠아이텍

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • 아이쓰리시스템(주)

    • (주)동양유니텍

    • (주)투윈스컴

    • A3시큐리티

    • CVT

    • AIS테크놀러지

    • (주)씨유박스

    • 이오씨

    • (주)에펠

    • (주)우경정보기술

    • 디비시스
      CCTV토탈솔루션

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 보쉬빌딩테크놀러지

    • 주식회사 비앤에스

    • (주)디지탈센스

    • 티에스아이솔루션
      출입 통제 솔루션

    • (주)넥스트림

    • 오피어(Ophir)

    • AhnLab

    • 신우테크
      팬틸드 / 하우징

    • (주)에프에스네트웍스

    • (주)에이앤티코리아

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)케이엠티

    • (주)알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • (주)모스타

    • 수퍼락
      출입통제시스템

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • NS게이트(주)

    • 다원테크

    • 구네보코리아주식회사

    • (주)일산정밀

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스
      카메라 렌즈

    • 플랜비

    • 주식회사 에스카

    • 포커스테크

    • (주)네이즈

    • (주)에이앤티글로벌

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지엘에스이

    • 글로넥스
      카드리더 / 데드볼트

    • (주)이스트컨트롤

    • 메트로게이트
      시큐리티 게이트

    • 이후커뮤니케이션

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • (주)유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기