[보안뉴스 한세희 기자] 중국 지원을 받는 해커 그룹이 구글 캘린더 이벤트를 데이터 탈취를 위한 지휘통제(C2) 허브로 사용하는 공격을 실행하다 발각됐다.

구글 위협정보 그룹에 따르면, 이 공격은 감염된 정부 기관 웹페이지를 통해 멀웨어를 유포하고, 이 멀웨어가 생성한 구글 캘린더 이벤트에 피해자 컴퓨터를 조종하는 명령어나 탈취한 데이터를 저장하는 방식으로 이뤄졌다.

구글은 이 공격이 중국 정부의 지원을 받는 APT41 그룹의 소행이라 판단했다.

APT41은 정부 기관 사이트의 웹페이지 하나를 감염시켜 멀웨어를 심었다. 이어 이 페이지에 심겨진 압축 파일로 연결되는 링크가 포함된 피싱 메일을 보냈다. 메일을 받은 사람이 이 링크를 클릭해 파일을 다운로드하면 절지동물 이미지 몇 장과 PDF 파일이 나타난다.

이 PDF 파일은 사실 PDF로 위장한 LNK 파일이다. 파일을 클릭하면 절지동물 수출에 대한 사항이 적힌 가짜 PDF 문서가 나타난다.


▲구글 캘린더를 이용한 APT41의 공격 개요 [자료: 구글]

이와 함께 감염 절차가 시작된다. 우선 ‘PLUSDROP’이란 DLL 파일이 메모리에서 멀웨어설치 다음 단계를 준비하고, 이어 ‘PLUSINJECT’가 정상 프로세스인 ‘svchost.exe’ 사이에 숨어 최종 페이로드를 주입하는 작업을 한다.

이런 과정을 거쳐 최종적으로 설치된 ‘터프프로그레스’(TOUGHPROGRESS) 멀웨어는 2023년 5월 30일자로 0분짜리 구글 캘린더 이벤트를 생성한다. 사용자 기기에서 훔친 데이터는 암호화되어 이 캘린더 이벤트의 ‘설명’(description) 칸에 기록된다. 공격자는 2023년 7월 30일 및 31일에 생성한 비슷한 이벤트에는 암호화된 명령을 심었다.

터프프로그레스는 캘린더에 데이터가 기록되면 이를 끌어와 해독하고, 여기에 포함된 명령어가 감염된 기기에서 실행된다. 실행 결과는 다시 암호화돼 다른 캘린더 이벤트에 기록된다. 이벤트를 읽고 쓰는 캘린더 기능을 데이터를 끌어오거나 명령을 내리는데 악용한 것이다.

APT41 그룹은 구글 캘린더와 구글 시트, 구글 클라우드 등 워크스페이스 앱들을 사용해 수년 간 이 같은 공격을 벌여 온 것으로 드러났다.

구글 위협정보 그룹은 감염된 구글 캘린더 이벤트를 식별하고 차단할 수 있는 맞춤형 지문 기술을 개발했다. 또 APT41이 장악한 워크스페이스 프로젝트들을 종료시켜 이번 공격에 활용된 인프라를 무너뜨렸다고 밝혔다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>