중국의 APT 조직이 물밑에서 열심히 활동하고 있었다가 발각됐다. 이들은 복잡하게 만들어진 새 백도어를 퍼트리고 있었는데, 이를 위해 중국 내 기업들의 서버를 침해해 자신들의 공격 인프라로 활용하고 있기도 했다.
[보안뉴스 문가용 기자] 어스루스카(Earth Lusca)라는 해킹 단체가 새로운 백도어를 사용하기 시작했다고 보안 업체 트렌드마이크로(Trend Micro)가 경고했다. 이름은 KTLV도어(KTLVdoor)로, 고도의 난독화 기술이 적용된 것이 특징이라고 한다. 대규모 캠페인의 일환으로서 KTLV도어가 사용되고 있다는 것도 추적 끝에 발견됐다고 트렌드마이크로는 밝혔다.
[이미지 = gettyimagesbank]
“KTLV도어는 고 언어로 작성되어 있으며, 윈도와 리눅스 모두에서 사용이 가능합니다. 현재 여러 가지 시스템 유틸리티로 위장된 채 퍼지고 있으며, 피해자의 파일을 조작하거나 피해자 시스템에서 명령을 실행하거나, 원격 포트를 스캔하는 등의 기능을 가지고 있습니다.” 트렌드마이크로의 설명이다.
“게다가 각종 난독화 기술이 적용되어 있어 분석이 어렵습니다. 중국에 있는 기업들에서 50개 이상의 C&C 서버가 발견됐으나, 이 공격 인프라가 어스루스카의 것인지 누군가의 것을 어스루스카가 대여한 것인지는 아직 확실하지 않습니다.” 참고로 이 C&C 서버들은 거의 대부분 중국의 대기업 알리바바(Alibaba)에 호스팅 되어 있었다.
“KTLV도어는 문자열과 함수명 등이 집요하게 난독화 되어 있어 분석이 매우 어려웠습니다. 설정 파일은 XOR 알고리즘으로 암호화 되어 있었는데, 어떤 경우 베이스64(Base64)를 기반으로 하고 있기도 했습니다. 서버와 통신할 때는 AES-GCM 방식으로 메시지를 암호화 한 후 다시 GZIP으로 압축하기도 했습니다. 이 때 세션 ID는 감염된 시스템의 고유 ID를 사용합니다.”
어스루스카는 중국어를 사용하는 해킹 단체다. 최소 2023년 전반기부터 활동을 시작한 것으로 알려져 있으며, 주로 동남아시아와 중앙아시아, 발칸반도 국가들을 공격해 왔다. 기업들보다는 정부 기관들이 주요 표적인데, 그 중에서도 외교 및 기술, 통신과 관련된 기관들이 당하는 편이었다. 제로데이 취약점보다는 공개된 취약점들을 익스플로잇 하는 데 주력한다.
트렌드마이크로는 이 캠페인의 주요 표적이 누구인지는 언급하지 않고 있다. 또한 실제 피해 규모가 어떻게 되는지도 아직은 집계하지 않은 것으로 보인다. 중국 기업들이 사용하는 서버를 엮어서 공격 인프라로 활용하고 있으며, 이 인프라를 통해 퍼지는 멀웨어가 복잡한 난독화 기술로 보호되어 있고, 멀웨어는 여러 명령을 C&C로부터 받아 실행한다는 것 정도만 현재까지 공개되어 있다.
하지만 트렌드마이크로는 이번에 발견된 거대 공격 인프라가 어스루스카만의 것이냐 아니냐가 중요한 문제라고 짚는다. 발견되지 얼마 안 된 공격 단체가 이런 규모의 공격 인프라를 홀로 차지하고 있는 거라면 이 공격 단체가 얼마나 많은 지원을 받고 있으며, 기술적으로 얼마나 강력한지를 보여준다. “그렇지 않고 다른 단체들과 공격 인프라를 공유하고 있다면, 중국의 다른 해킹 조직들과 협력 관계에 있다는 걸 드러냅니다.”
여기서 말하는 ‘중국의 다른 해킹 조직’은 정부가 지원하는 APT 조직일 수도 있고, 민간인 해커들로 구성된 사이버 범죄 조직일 수도 있다. 어느 쪽이 됐든 시사하는 바가 크다.
1) 중국의 APT 조직들은, 다른 나라의 APT 조직들과 달리 서로 협력하는 관계에 있다는 의혹이 서방 보안 업계들로부터 지속적으로 나오고 있다. 그렇다는 건 중앙(아마도 정부)의 누군가가 이들을 한꺼번에 관리하고 있을 가능성이 높다는 뜻이 된다. 실제로 중국의 서로 다른 APT 조직들이 같은 공격 도구와 전술을 활용하는 모습이 여러 차례 발견되기도 했다. 이번에 발견된 공격 인프라마저 공유하는 것이라면 중국 APT 조직들을 정부가 관리한다는 의혹이 더 짙어지게 된다.
2) 중국만이 아니라 이란과 북한의 APT 단체들이 최근 들어 일반 사이버 범죄 조직과 손을 잡아 공격을 실시하는 경우가 빈번해지고 있다. APT 조직이 일반 사이버 범죄 조직과 손을 잡을 경우 추적에 혼선을 줄 수 있고, 나중에 꼬리가 잡히더라도 일반 범죄자들이 한 짓이라고 핑계를 댈 수 있게 된다. 뿐만 아니라 서로가 침투 당시 사용했던 경로들을 공유함으로써 공격이 훨씬 빠르고 쉬워진다. 이번에 발견된 인프라를 어스루스카가 다른 해킹 범죄 조직과 같이 사용하고 있었다면 이러한 융합의 트렌드가 존재함이 더 분명해지는 것이다.
트렌드마이크로는 해당 인프라의 정확한 사용자나 소유주가 누구인지 파악하기 위해 어스루스카에 대한 추적을 이어갈 계획이라고 한다.
3줄 요약
1. 중국의 어스루스카 해킹 조직, 새 백도어 사용하기 시작.
2. 이 백도어가 활용하는 공격 인프라, 누구의 것인가가 문제.
3. 어스루스카 혼자 쓰거나 누군가와 공유하거나 여러 가지를 시사.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 어스루스카(Earth Lusca)라는 해킹 단체가 새로운 백도어를 사용하기 시작했다고 보안 업체 트렌드마이크로(Trend Micro)가 경고했다. 이름은 KTLV도어(KTLVdoor)로, 고도의 난독화 기술이 적용된 것이 특징이라고 한다. 대규모 캠페인의 일환으로서 KTLV도어가 사용되고 있다는 것도 추적 끝에 발견됐다고 트렌드마이크로는 밝혔다.
[이미지 = gettyimagesbank]
“KTLV도어는 고 언어로 작성되어 있으며, 윈도와 리눅스 모두에서 사용이 가능합니다. 현재 여러 가지 시스템 유틸리티로 위장된 채 퍼지고 있으며, 피해자의 파일을 조작하거나 피해자 시스템에서 명령을 실행하거나, 원격 포트를 스캔하는 등의 기능을 가지고 있습니다.” 트렌드마이크로의 설명이다.
“게다가 각종 난독화 기술이 적용되어 있어 분석이 어렵습니다. 중국에 있는 기업들에서 50개 이상의 C&C 서버가 발견됐으나, 이 공격 인프라가 어스루스카의 것인지 누군가의 것을 어스루스카가 대여한 것인지는 아직 확실하지 않습니다.” 참고로 이 C&C 서버들은 거의 대부분 중국의 대기업 알리바바(Alibaba)에 호스팅 되어 있었다.
“KTLV도어는 문자열과 함수명 등이 집요하게 난독화 되어 있어 분석이 매우 어려웠습니다. 설정 파일은 XOR 알고리즘으로 암호화 되어 있었는데, 어떤 경우 베이스64(Base64)를 기반으로 하고 있기도 했습니다. 서버와 통신할 때는 AES-GCM 방식으로 메시지를 암호화 한 후 다시 GZIP으로 압축하기도 했습니다. 이 때 세션 ID는 감염된 시스템의 고유 ID를 사용합니다.”
어스루스카는 중국어를 사용하는 해킹 단체다. 최소 2023년 전반기부터 활동을 시작한 것으로 알려져 있으며, 주로 동남아시아와 중앙아시아, 발칸반도 국가들을 공격해 왔다. 기업들보다는 정부 기관들이 주요 표적인데, 그 중에서도 외교 및 기술, 통신과 관련된 기관들이 당하는 편이었다. 제로데이 취약점보다는 공개된 취약점들을 익스플로잇 하는 데 주력한다.
트렌드마이크로는 이 캠페인의 주요 표적이 누구인지는 언급하지 않고 있다. 또한 실제 피해 규모가 어떻게 되는지도 아직은 집계하지 않은 것으로 보인다. 중국 기업들이 사용하는 서버를 엮어서 공격 인프라로 활용하고 있으며, 이 인프라를 통해 퍼지는 멀웨어가 복잡한 난독화 기술로 보호되어 있고, 멀웨어는 여러 명령을 C&C로부터 받아 실행한다는 것 정도만 현재까지 공개되어 있다.
하지만 트렌드마이크로는 이번에 발견된 거대 공격 인프라가 어스루스카만의 것이냐 아니냐가 중요한 문제라고 짚는다. 발견되지 얼마 안 된 공격 단체가 이런 규모의 공격 인프라를 홀로 차지하고 있는 거라면 이 공격 단체가 얼마나 많은 지원을 받고 있으며, 기술적으로 얼마나 강력한지를 보여준다. “그렇지 않고 다른 단체들과 공격 인프라를 공유하고 있다면, 중국의 다른 해킹 조직들과 협력 관계에 있다는 걸 드러냅니다.”
여기서 말하는 ‘중국의 다른 해킹 조직’은 정부가 지원하는 APT 조직일 수도 있고, 민간인 해커들로 구성된 사이버 범죄 조직일 수도 있다. 어느 쪽이 됐든 시사하는 바가 크다.
1) 중국의 APT 조직들은, 다른 나라의 APT 조직들과 달리 서로 협력하는 관계에 있다는 의혹이 서방 보안 업계들로부터 지속적으로 나오고 있다. 그렇다는 건 중앙(아마도 정부)의 누군가가 이들을 한꺼번에 관리하고 있을 가능성이 높다는 뜻이 된다. 실제로 중국의 서로 다른 APT 조직들이 같은 공격 도구와 전술을 활용하는 모습이 여러 차례 발견되기도 했다. 이번에 발견된 공격 인프라마저 공유하는 것이라면 중국 APT 조직들을 정부가 관리한다는 의혹이 더 짙어지게 된다.
2) 중국만이 아니라 이란과 북한의 APT 단체들이 최근 들어 일반 사이버 범죄 조직과 손을 잡아 공격을 실시하는 경우가 빈번해지고 있다. APT 조직이 일반 사이버 범죄 조직과 손을 잡을 경우 추적에 혼선을 줄 수 있고, 나중에 꼬리가 잡히더라도 일반 범죄자들이 한 짓이라고 핑계를 댈 수 있게 된다. 뿐만 아니라 서로가 침투 당시 사용했던 경로들을 공유함으로써 공격이 훨씬 빠르고 쉬워진다. 이번에 발견된 인프라를 어스루스카가 다른 해킹 범죄 조직과 같이 사용하고 있었다면 이러한 융합의 트렌드가 존재함이 더 분명해지는 것이다.
트렌드마이크로는 해당 인프라의 정확한 사용자나 소유주가 누구인지 파악하기 위해 어스루스카에 대한 추적을 이어갈 계획이라고 한다.
3줄 요약
1. 중국의 어스루스카 해킹 조직, 새 백도어 사용하기 시작.
2. 이 백도어가 활용하는 공격 인프라, 누구의 것인가가 문제.
3. 어스루스카 혼자 쓰거나 누군가와 공유하거나 여러 가지를 시사.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
