남중국해 분쟁 연계 지속적 사이버 공격…아태지역 전체 위협 경고
파일리스 방식 ‘에그스트림’…탐지 회피와 고급 침투 기법 활용

[보안뉴스 여이레 기자] 중국 지능형지속공격(APT) 그룹이 필리핀 군사 시스템을 대상으로 해킹 공격을 벌이고 있는 것으로 확인됐다.


[자료: gettyimagesbank]

보안 기업 비트디펜더는 최근 중국 기반 해킹 그룹이 새로운 파일리스 악성코드 프레임워크 ‘에그스트림’(EggStreme)을 사용해 필리핀 군사 시스템에 침투했다고 밝혔다.

이 악성코드는 필리핀 군사 기업 내 해킹 침해 사고 조사를 통해 확인됐다. 필리핀을 겨냥한 공격은 남중국해 영토 분쟁을 둘러싼 지정학적 긴장과 맞물려 자주 벌어지고 있다.

비트디펜더는 2024년 초 처음 악성 징후를 감지했다. 에그스트림은 개별 악성코드 샘플이 아니라 일련의 단계별로 작동하는 통합 시스템으로 구성됐다. 이 시스템은 ‘에그스트림퓨얼’(EggStremeFuel)’이라는 로더를 시작으로 환경을 조성하며 최종적으로는 정찰, 데이터 탈취, 중요 파일 변경 및 삭제까지 가능한 ‘에그스트림에이전트’(EggStremeAgent) 백도어가 실행된다.

이 악성코드는 디스크에 암호화된 모듈을 보유하고 있지만 실제로는 메모리 내에서만 악성 페이로드가 복호화 및 실행되는 ‘파일리스’ 실행 방식을 채택해 탐지가 매우 어렵다. DLL 사이드로딩 기법도 활용된다.

에그스트림에이전트는 58가지 명령어를 지원하며 시스템 정보 수집, 파일 조작, 명령 실행, 추가 악성코드 주입 등을 수행할 수 있다. 새 사용자 세션을 시작할 때 ‘explorer.exe’ 프로세스에 키로거를 주입해 키 입력과 클립보드 데이터를 감시한다. 명령·제어 서버와는 암호화된 구글 원격 프로시저 호출(gRPC) 채널로 통신한다.

공격자들은 추가 백도어인 ‘에그스트림위저드’(EggStremeWizard)도 배포해 높은 접근성을 유지한다. 이 백도어 역시 DLL 사이드로딩 기법을 쓰고 자체 대체 서버 목록을 유지한다. ‘스토어어웨이’(Stowaway)라는 프록시 도구와 결합돼 내부 네트워크 트래픽을 우회·조작할 수 있다.

비트디펜더는 이 캠페인이 아직도 진행 중이라고 경고하며, 아시아 태평양 지역 기관과 기업에 공개된 침해 지표(IOCs)를 적용해 대응 조치를 강화하라고 권고했다. 침해 지표와 기술 세부 정보는 비트디펜더의 인텔리존(IntelliZone) 포털 혹은 공개 깃허브 저장소에서 확인할 수 있다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>