파키스탄 배후 ‘사이드카피’ 대사관 사칭 도메인과 다단계 감염 체인 악용해
오픈소스 제노 랫(Xeno RAT)으로 인프라 장악, 타 APT 조직과 인프라 밀월 포착

[보안뉴스 김형근 기자] 파키스탄 정부가 배후에 있는 것으로 추정되는 해킹 조직 ‘사이드카피’가 아프가니스탄 재무부를 겨냥한 표적형 스피어피싱 공격을 감행했다.


[출처: gettyimagesbank]

글로벌 보안 기업 시크리트(Seqrite) 소속 위협 연구진은 이번 공격 캠페인을 ‘오퍼레이션 제노피스컬’(Operation Xenofiscal)로 명명하고 침투 경로와 방식을 공개했다. 이들은 아프간 정부의 공식 행정 공문으로 위장한 미끼 문서를 살포해 내부 전산망으로 침투했다.

이번 공격의 핵심은 탐지를 회피하기 위해 설계된 실행 체인에 있다. 내부 직원이 이메일에 첨부된 압축파일을 푸는 순간 △바로가기(LNK) △하이퍼텍스트 애플리케이션(HTA) △오토잇(AutoIt) 스크립트 △도넛(Donut) 셸코드로 이어진 다단계 감염 프로세스가 연쇄적으로 가동됐다. 공격자들은 이 과정을 통해 내부망 최고 관리자 권한을 탈취하고 오픈소스 기반의 원격 제어 트로이목마(RAT)인 ‘제노 렛’을 이식해 금융 문서 탈취와 키로깅 등을 진행했다.

이번 공격은 치밀한 인프라 은폐 전술과 함께 타 APT 조직 간 협력도 진행됐다. 투르크메니스탄 주재 아프간 대사관을 사칭한 가짜 도메인 등 합법적인 인프라를 미리 장악해 명령 제어(C&C) 서버로 악용했다. 또, 이 지역의 다른 APT 조직인 ‘트랜스페어런트 트라이브’(Transparent Tribe)와 서버 인프라를 공유한 정황이 포착되면서 아시아 권역의 안보를 위협하는 APT 그룹 간의 동맹이 확인됐다.

아프간 정부는 해킹 감지 직후 네트워크 확산을 막기 위해 감염된 서버를 격리했고, 모든 정부 부처 시스템을 대상으로 전수조사를 진행했다. 보안 전문가들은 이번 사태가 공공기관의 상시적인 취약점 검증과 신속한 패치 거버넌스 확립이 얼마나 중대한 과제인지 다시 한번 증명한 사례라고 지적했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>