[보안뉴스 문가용 기자] 마이크로소프트가 익스체인지 서버(Exchange Server)에서 발견된 제로데이 취약점 4개를 패치한 것이 지난 3월의 일이다. 패치가 나오고서 며칠 후 한 공격 단체가 고급 멀웨어를 이 취약점을 통해 유포하기 시작했다. 공격자들은 중국어를 구사하고 있었고, 피해자들은 동남아시아의 통신사들과 정부 기관들인 것으로 분석됐다.
[이미지 = utoimage]
이러한 공격 현황을 발견한 건 보안 업체 카스퍼스키(Kaspersky)로, 현재 이 공격 단체를 ‘고스트엠퍼러(GhostEmperor)’라고 부르고 있다. 마이크로소프트 익스체인지의 취약점 연구를 하다가 우연히 발견한 자들이라고 한다. 카스퍼스키에 따르면 고스트엠퍼러는 이제까지 한 번도 발견되지 않았던 윈도 커널 룻키트를 활용하고 있으며, 윈도 드라이버 시그니처 인포스먼트(Windows Driver Signature Enforcement)를 회피하기 위해 치트엔진(Cheat Engine)이라는 오픈소스 도구를 활용한다는 점에서 “독특하다”고 한다.
“고스트엠퍼러는 이번 캠페인을 진행할 때 다단계 멀웨어 프레임워크를 사용했습니다. 이 프레임워크는 대단히 기술 수준이 높으며, 피해자의 서버를 공격자가 원격에서 제어할 수 있도록 만듭니다. 여태까지 카스퍼스키가 발견한 그 어떤 멀웨어와도 유사성을 갖고 있지 않으며, 2020년 7월부터 사용되어 온 것으로 보입니다.” 카스퍼스키의 설명이다.
“한편 치트엔진은 사용자가 게임의 메모리를 조작함으로써 비디오 게임을 유리하게 진행할 수 있도록 해 주는 프로그램입니다. 오픈소스로 배포되고 있죠. 예를 들어 게임 내 무기의 힘을 높인다든가, 점수를 조작한다든가 하는 식으로 활용됩니다.” 카스퍼스키의 분석가인 아리엘 융하이트(Ariel Jungheit)의 설명이다. “이 치트엔진에는 dbk64.sys라는 ‘서명된’ 드라이버가 탑재되어 있습니다. 공격자는 이 드라이버를 악용해서 자신들이 사용하는 윈도 커널 룻키트를 피해자의 시스템에 로딩합니다.”
융하이트는 고스트엠퍼러가 마이크로소프트 익스체인지 서버의 취약점을 익스플로잇 함으로써 피해자들의 시스템에 접근하는 것을 목격했다고 설명한다. 하지만 그것 외에도 다른 전략을 구사할 줄 안다고 말한다. “MS의 마이크로소프트 익스체인지에서 발견된 제로데이 취약점들은 이들이 활용한 여러 공격 루트 중 하나였을 뿐입니다. 꽤나 다양한 기법을 사용해 침투할 줄 아는 자들입니다.”
계속해서 카스퍼스키는 “마이크로소프트 익스체인지 취약점을 익스플로잇 하려 했던 공격 단체는 수도 없이 많고, 고스트엠퍼러는 그 중 하나”라고 설명한다. 처음 익스체인지의 제로데이 취약점이 공개되었을 때는 중국의 APT 단체인 하프늄(Hafnium)이 익스플로잇 하고 있다고 발표됐었다. 하프늄의 경우 패치가 나오기 전부터 이 제로데이 취약점들을 파악해 이용하고 있었다.
이 소식이 알려지자 갑자기 수많은 공격자들이 몰려들었다. 익스체인지 취약점을 익스플로잇 하려는 시도가 전 세계적으로 급증한 것이다. 그러자 FBI와 같은 주요 정부 기관들이 패치 적용을 서두르라고 권고하기 시작했다. 고스트엠퍼러의 발견은 ‘익스체인지 사태가 끝나지 않았다’는 것을 시사한다.
실제로 카스퍼스키는 “고스트엠퍼러 외에도 다른 중국 APT 단체들이 익스체인지를 익스플로잇 하는 것을 발견했다”고 설명을 이어간다. “그 중 하나는 지르코늄(ZIRCONIUM)이라는 단체입니다. 정부, 금융, 국방, 항공 분야의 조직들을 노리는 중국 APT로 알려져 있습니다. 유럽의 가정용 및 소기업용 라우터들을 주로 공략해 왔습니다. 이들은 코발트 스트라이크(Cobalt Strike)라는 공격 키트를 유포하는 데 익스체인지 취약점을 활용했습니다.”
바운티클래드(BountyClad)라는 APT 단체 역시 익스체인지 서버를 익스플로잇 하는 주요 조직이라고 카스퍼스키는 덧붙인다. 지난 2월 몽골의 인증서 발급 기관(CA)를 침해함으로써 악성 다운로더를 유포시킨 장본인들로, 역시 중국어를 구사하는 것으로 알려져 있다. 홍콩의 웹스피어(WebSphere) 및 웹로직(WebLogic) 서버 공격과, 미국 코로나 연구 단체를 겨냥한 공격을 감행한 적이 있다. 이들 역사 익스체인지 서버 익스플로잇에 참여했다고 카스퍼스키는 설명한다.
카스퍼스키의 보안 연구원인 데이비드 엠(David Emm)은 “APT 그룹들은 고급 공격 도구를 스스로 개발해 활용하기도 하지만, 뜻하지 않은 기회가 생겼을 때 그것을 적극적으로 활용하기 위해 발 빠르게 움직일 줄도 안다”고 경고한다. “MS 익스체인지 사태와 같은 경우 투자를 덜 하고도 비슷한 공격 효과를 누릴 수 있게 해 준다는 걸 간파한 것이죠. 특히 중국의 APT는 국가 발전을 목표로 해킹 공격을 실시하기 때문에 무척이나 유연하게 움직입니다.”
3줄 요약
1. 마이크로소프트 익스체인지 서버 사태, 아직 끝나지 않음.
2. 왜냐하면 아직도 고급 APT 공격자들이 익스플로잇 하고 있기 때문.
3. 특히 중국의 APT 단체들이 보여주는 유연성이 위협적.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>