중국과 관련된 것으로 보이는 새로운 APT 단체가 발견됐다. 정부와 군사 기관들을 조용히 노리며 정보를 캐고 있는 것으로 보이며, 자신들만의 고급 멀웨어를 개발할 줄도 알고 MS 익스체인지 서버를 최초로 익스플로잇 한 것으로도 보인다. 숨어 있던 실력자가 들킨 것이다.

[보안뉴스 문가용 기자] 작년 익스체인지 서버(Exchange Server)에서 발견된 제로데이 취약점인 프록시로그온(ProxyLogon)을 최초로 익스플로잇 한 것으로 의심되는 중국의 APT 단체가 새로운 멀웨어를 갖춰서 다시 등장한 것으로 보인다. 최근 캠페인에서 이들의 표적이 되고 있는 건 유럽과 아시아의 정부 및 군사 기관이라고 한다.


[이미지 = utoimage]

이러한 사실을 제일 먼저 발견한 보안 업체 카스퍼스키(Kaspersky)에 의하면 해당 멀웨어는 장기간 지속적으로 피해자를 염탐하기에 최적화 된 도구라고 하며, 공격자들이 피해자의 네트워크 내에서 횡적으로 움직이면서 깊이 침투할 수 있도록 해 준다고 한다. 또한 공격자가 원하는 대로 기능이 자유자재로 추가될 수 있어, 아직까지 이 멀웨어의 진정한 성능을 다 봤다고 말하기 힘들다고 덧붙였다.

프록시로그온 익스에인지 서버 오류에 대한 표적 공격
카스퍼스키에 의하면 이 중국 해킹 그룹은 현재까지 발견 및 분석된 적이 없는 그룹으로, 토디캣(ToddyCat)이라 명명했다고 한다. 기존 중국 해킹 단체들의 특징과 겹치는 부분이 일부 있긴 하며, 구성원 몇몇은 중국어를 구사하는 것으로 보인다고 설명한다. “토디캣은 정부, 외교, 군과 관련된 중요 조직들을 주로 노립니다. 아직 발견되지는 않았지만 서방 국가들에도 피해를 입혔을 수 있습니다. 다만 아직까지 그렇게 결론을 내릴 만한 충분한 증거가 발견되지는 않았습니다.” 카스퍼스키의 보안 연구원인 기암파올로 데돌라(Giampaolo Dedola)의 설명이다.

카스퍼스키의 분석에 의하면 토디캣의 공격 캠페인은 2020년 12월에 시작됐다고 한다. 당시에는 베트남과 대만의 세 개 조직들에서 사용되고 있던 익스체인지 서버가 표적이었다. 공격자들은 처음 등장한 익스플로잇을 사용해 익스체인지 서버를 침해했으며, 이를 통해 차이나초퍼(China Chopper)라는 웹셸을 심었다. 그리고 차이나초퍼를 활용해 여러 가지 로더와 멀웨어를 심었는데, 결국에는 사무라이(Samurai)라는 백도어를 심는 것으로 공격이 귀결됐다.

고급 멀웨어, 새로운 멀웨어
사무라이는 매우 수동적인 백도어로 분석됐다. 이를 활용할 경우 공격자들은 인터넷에 직접 연결된 웹 서버에 지속적으로 접근할 수 있게 된다. 포트 80번과 443번에서 작동하며, 임의 C# 코드를 피해자의 시스템에서 실행시킬 수도 있다. “공격자들이 소스코드 일부를 업로드 한 것을 발견했습니다. 분석 결과 임의 명령어를 실행하고, 파일을 다운로드 하고, TCP 패킷을 내부 호스트로 전달하는 기능을 가지고 있었습니다.” 데돌라의 설명이다. “C# 코드를 임의로 실행시킬 수 있다는 건, 공격자들이 멀웨어의 기능을 자유롭게 늘릴 수 있다는 뜻입니다.”

사무라이를 분석하다가 카스퍼스키는 또 다른 해킹 도구를 발견할 수 있었다. 이름은 닌자(Ninja)이며, 이전에 발견된 적이 없는 멀웨어라고 한다. “닌자는 코발트스트라이크(Cobalt Strike)와 매우 흡사한 멀웨어이며, 익스플로잇 이후의 악성 활동을 할 수 있게 해 주는 도구입니다. 최초 침투에 사용되는 도구는 아닌 것으로 보입니다. 공격자들이 매우 점진적으로 공격을 진행하고 있다는 걸 알 수 있습니다.” 이번 캠페인에서 공격자들은 닌자를 활용해 원격 시스템을 제어하고, 파일 시스템과 프로세스를 조작하며, 임의 코드를 주입하고, TCP 패킷을 전달하며 메모리 내에 새로운 모듈을 주입하는 것으로 분석됐다.

“닌자의 에이전트들은 설정을 통해 서버와 비슷하게 작동할 수도 있습니다. 무슨 뜻이냐면, 공격자들이 이 닌자를 사용해 감염된 피해자의 시스템을 C&C 서버처럼 활용할 수 있게 된다는 겁니다. 그러면 외부 서버들로 트래픽을 내보낼 일이 최소화 되고, 따라서 탐지될 가능성을 그만큼 줄일 수 있죠. 게다가 TCP 명령을 전달할 수 있는 기능도 탑재되어 있다보니, 공격자들은 인터넷에 직접 연결되어 있지 않은 시스템까지도 장악할 수 있게 됩니다.” 데돌라의 설명이다.

토디캣은 2020년 12월부터 2021년 2월까지 베트남과 대만의 조직들만 집중적으로 노렸었다. 그러더니 2월말부터 3월초까지 프록시로그온 취약점을 익스플로잇 하기 시작하면서 다른 나라들도 공격했다. 이 때 러시아, 영국, 슬로바키아, 인도, 이란, 말레이시아에서 피해가 발생했다. 이 때는 중국의 산업과 기업 활동에 이익이 될 만한 조직들이 주요 표적이었다고 카스퍼스키는 설명했다.

토디캣의 초반 활동 대부분은 익스체인지 서버의 오류를 노리는 것에 초점이 맞춰져 있었다. 하지만 2021년 9월부터 텔레그램(Telegram) 메시지 서비스를 통해 전달되는 악성 로더를 활용해 데스크톱 시스템들을 노리는 식으로 전략을 수정했다고 카스퍼스키는 설명한다. 아직까지 토디캣이 일으킨 피해의 규모는 정확히 집계되지 않고 있지만 데돌라는 “30개 조직 이하일 가능성이 높다”고 보고 있다.

보안 업체 인버전식스(Inversion6)의 CTO인 크리스토퍼 프리윗(Chritopher Prewitt)은 이번 카스퍼스키의 보고서를 보고 “공격자들이 전략은 물론 해킹 도구를 개발하는 데 있어 끊임없는 노력을 기울인다는 걸 알 수 있다”고 말하며 “특히 지속적 접근과 분석 및 탐지 방해 기능의 개발에 집중한다는 것이 다시 한 번 입증됐다”고 지적한다. 그러면서 “사무라이는 그나마 평범한 축에 속한다고 말할 수 있지만 닌자의 경우 매우 흥미로운 멀웨어”라고 말했다.

“닌자는 메모리에 로딩이 되며, 따라서 탐지와 분석이 매우 까다롭습니다. 이런 도구를 하나 개발하면 공격자들은 안정적으로 오랜 시간 활용할 수 있습니다. 그리고 높은 확률로 그러고 있을 거라고 생각합니다. 토디캣은 탐지가 잘 되지 않는 자신들만의 도구를 가지고 지금도 어디선가 정보를 빼돌리고 여러 악성 행위를 하고 있을 거라고 봅니다.”

3줄 요약
1. 중국에서 활동하는 것으로 보이는 새로운 APT 단체 발견됨.
2. 최소 2020년 말부터 아시아 지역의 정부 및 군사 지역들 노리는 이 그룹은 토디캣.
3. 익스체인지 서버의 취약점을 익스플로잇 하기도 하고, 자신들만의 고급 멀웨어 심기도 하고.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>