중국의 APT 단체가 미국, 유럽, 동남아시아 지역의 대형 통신사들을 공격하는 것이 발견됐다. 이들이 노리는 건 5G와 관련된 사업 및 기술 기밀로 보인다고 한다.

[보안뉴스 문가용 기자] 중국의 APT 단체들이 미국, 유럽, 동남아시아의 대형 통신사들을 겨냥해 공격을 실시하고 있다는 경고가 나왔다. 이들이 노리는 건 5G와 관련된 사업 및 기술 기밀로 보인다고 한다. 이 작전에는 디안순작전(Operation Diànxùn)이라는 이름이 붙었다.


[이미지 = utoimage]

맥아피는 이번 작전을 수행하는 공격자들에게서 무스탕 판다(Mustang Panda)라는 공격자들의 흔적이 많이 나타난다고 설명한다. 수년 전부터 일부 보안 업체들이 발견해 보고한 공격 단체로, 중국 정부와 관련이 있는 것으로 여겨지고 있다.

맥아피가 조사한 바에 의하면 공격자들은 먼저 피해자들을 중국의 글로벌 통신회사 구인구직 웹사이트로 유도한 것으로 보인다고 한다. 물론 해당 웹 페이지는 가짜다. 공격자들이 최초 접근을 어떤 식으로 이뤄냈는지는 아직 정확히 밝혀내지 못했다. 또한 어떤 술수를 써서 가짜 페이지로 이끄는지도 아직 분석되지 않았다. 다만 공격자들에게 속아 접속한 피해자들은 대부분 아무런 의심을 하지 않았을 것으로 보인다고 한다. 가짜 페이지가 진짜 페이지와 너무나 똑같아 보이기 때문이다. 거기서 피해자들은 멀웨어를 다운로드 받도록 안내됐다. 플래시 애플리케이션으로 포장되어 있었기 때문에 의심을 사지 않았다고 한다. 이 멀웨어는 코발트 스트라이크(Cobalt Strike)인 것으로 알려졌다.

맥아피의 수석 보안 연구원인 토마스 로시아(Thomas Roccia)는 “현재까지 발굴된 데이터만 보면 무스탕 판다가 다시 한 번 움직이기 시작한 것으로 보인다”며 “이번 캠페인의 표적은 통신사들”이라고 지적했다. “게다가 이번 공격과 관련된 피해 조직들 대다수가 최근 중국으로부터 5G 기술을 도입하는 것에 대해 부정적인 입장을 가지고 있는 지역에서 발견되고 있었습니다. 차세대 통신 기술과 관련된 움직임이 분명합니다.”

무스탕 판다가 처음 발견된 건 2014년의 일이다. 당시에도 중국 정부에 도움이 되는 작전들을 주로 실행했고, 따라서 중국 정부의 지원을 받는 단체로 분류됐었다. 2017년에는 보안 업체 크라우드스트라이크(CrowdStrike)가 미국 싱크탱크와 비정부 조직들을 겨냥한 무스탕 판다의 움직임을 공개하기도 했었다. 당시 피해자들은 몽고 정부나 몽고 조직들과 관련이 있었다.

그러다가 2020년 5월과 9월 사이, 일부 보안 업체들이 무스탕 판다를 또 한 번 발견했다. 바티칸, 홍콩, 이탈리아의 가톨릭 조직들을 겨냥한 공격을 2018년부터 실시해오던 것이 뒤늦게 발견된 것이었다. 2018년 중국과 바티칸은 중국 내 가톨릭 교인들과 관련된 협약을 맺었는데, 이 협약이 있기 전 무스탕 판다가 관련 조직들로부터 정보를 캐낸 것으로 추정되었다. 그 외에도 티베트와 관련된 조직들을 공격하는 것 역시 2020년에 목격된 바 있다.

과거 무스탕 판다는 플러그엑스(PlugX)라는 원격 접근 트로이목마를 공격에 활용했다. 그러나 플러그엑스가 무스탕 판다의 전용 공격 도구는 아니다. 2008년부터 여러 공격 단체들이 플러그엑스를 활용했었다. 플러그엑스는 주로 파일을 훔치거나 임의로 수정하는 데에 활용되며, 버전에 따라 멀웨어 다운로드와 키스트로크 로깅이 가능하기도 하다. 그러나 이번 캠페인에서 무스탕 판다는 플러그엑스가 아니라 코발트 스트라이크를 활용했다.

3줄 요약
1. 미국과 유럽, 동남아시아에서 대형 통신사, APT 공격 당함.
2. 공격자는 과거에도 중국 정부에 친화적인 움직임 보였던 무스탕 판다.
3. 가짜 통신회사 구인구직 페이지로 유도해 코발트 스트라이크 담긴 멀웨어 다운로드 하도록 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>