중국과 관련 있어 보이는 해킹 단체, 고급 멀웨어 사용해 정보 수집 중

2022-05-12 15:41
  • 카카오톡
  • url
모듈 구성의 파일레스 멀웨어인 아이스애플이 발견됐다. 탐지와 분석을 방해하는 기능도 빼어나 좀처럼 찾아내기가 힘든 멀웨어라고 한다. 그래서 현재까지의 피해 규모나 배후 세력에 대해서도 뭔가 명확히 나온 것이 하나도 없다.

[보안뉴스 문가용 기자] 중국 정부의 지원을 받고 있는 것으로 보이는 해킹 단체가 고급 멀웨어 프레임워크를 마이크로소프트 익스체인지 서버들에 심고 있다는 사실이 뒤늦게 드러났다. 기술 업계와 학계, 정부 기관들이 주요 공격 대상이며, 이러한 캠페인은 최소 지난 가을부터 시작된 것으로 보인다.


[이미지 = utoimage]

보안 업체 크라우드스트라이크(CrowdStrike)에 의하면 이 캠페인의 목표는 첩보 수집이라고 한다. 정부의 지정학적 활동과 밀접한 관계에 있는 첩보들이 특히 대상이 되는 것처럼 보이며, 첩보 수집을 위해 공격자들이 사용하는 악성 프레임워크에 크라우드스트라이크는 아이스애플(IceApple)이라는 이름을 붙였다. 아이스애플은 18개의 모듈로 구성되어 있으며, 덕분에 크리덴셜 수집, 파일 삭제, 디렉토리 삭제, 데이터 유출 등 다양한 악성 행위를 할 수 있다고 한다.

크라우드스트라이크의 분석에 따르면 이 모듈들은 전부 메모리 내에서만 돌아가게 되어 있으며, 덕분에 피해자 시스템에서 아이스애플의 흔적을 찾아내는 것은 대단히 어려운 일이 된다고 한다. 이런 ‘파일레스’ 공격 전략은 장기적인 공격을 진행할 때 흔히 활용된다. 그 외에도 아이스애플은 탐지와 분석을 회피하고 방해하는 기능도 충실히 갖추고 있다. 공격자들이 현대 보안 체계에 대한 이해도가 높은 것을 알 수 있다고 크라우드스트라이크는 설명한다.

크라우드스트라이크가 조사를 진행하는 동안 공격자들은 여러 번 피해자 시스템에 드나들었고, 매번 아이스애플을 사용해 여러 가지 악성 행위를 진행했다. 부회장인 파람 싱(Param Singh)은 “아이스애플은 과거에 등장했던 공격 도구들과 사뭇 다르다”며 “이미 실전에 활용될 정도로 충분한 개발 과정을 거쳤지만 아직도 활발히 개발되고 있으며, 기능이 늘어나고 있다는 점에서 특히 그렇다”고 설명한다. 또한 “현재까지 주로 익스체인지 서버의 인스턴스들만 공격한다는 점도 특이하다”고 덧붙였다.

크라우드스트라이크가 아이스애플을 제일 처음 발견한 건 2021년 말 경이었다. 크라우드스트라이크 고객사 한 곳의 익스체인지 서버에서 수상한 조짐들이 포착되면서였다. 조사를 진행했을 때 일부 닷넷(.NET) 어셈블리 파일들에서 비정상적인 특성들이 발견됐고, 이 부분을 더 깊게 파고들었을 때 아이스애플 프레임워크가 나타났다고 한다.

상술했던 것처럼 아이스애플은 모듈 구성으로 되어 있다. 이 때문에 공격자들은 필요한 기능을 그 때 그 때 모듈 형태로 개발해 쉽게 추가할 수 있다. “이 모듈들이 디스크에 흔적을 남기지 않으니 어지간해서는 피해자가 악성 행위를 파악할 수 없습니다. 완벽히 눈을 가릴 수 있어요. 공격자들 편에서는 장기적으로 피해자로부터 정보를 파내기에 편리한 구성이고, 방어자들 편에서는 무슨 일이 일어나는 건지 도무지 알 수 없는 구성인 것이죠.”

그 외에도 아이스애플 만의 탐지 회피 기술이 존재한다는 걸 크라우드스트라이크는 분석을 통해 발견할 수 있었다. “그 중 하나는 인터넷 정보 서비스(IIS) 내에 존재하지만 문서화 되지 않은 필드를 활용하는 것입니다. 어셈블리 파일 이름들을 정상적인 IIS 임시 파일처럼 보이게 만들어 환경 속에 자연스럽게 녹아들어가기도 합니다. 마이크로소프트 서비스의 각종 숨은 기능을 대단히 깊이 이해하고 있는 자들이 배후에 있음이 분명합니다.”

아이스애플 프레임워크는 다양한 방법으로 데이터를 빼돌리기도 한다. “파일 엑스필트레이터(File Exfiltrator)라는 모듈이 있어요. 단일 파일을 호스트에서부터 빼돌리는 기능을 가지고 있죠. 멀티파일 엑스필트레이터(Multifile Exfiltrator)라는 모듈의 경우 여러 개의 파일들을 암호화시키고 암축하여 빼돌립니다. 이렇게 세밀한 부분에까지 공격자들이 제어하면서 공격을 진행할 수 있습니다. 매우 치밀한 면모를 가지고 있습니다.”

이 캠페인은 현재에도 진행되는 중이라고 크라우드스트라이크는 경고한다. “추적을 하고는 있지만 워낙 파악하기가 힘든 구성을 하고 있어서 현재로서는 정확한 피해 규모도 알 수 없고, 어떻게 해야 아이스애플을 찾아낼 수 있는지도 정확히 파악하지 못하고 있습니다. 보안 업체들이 각자의 고객사들의 네트워크를 면밀히 모니터링 해서 아이스애플과 관계가 있는 것으로 의심되는 정보를 공유하지 않는다면 캠페인의 전모를 알기는 더 힘들 것입니다.”

3줄 요약
1. 지난 가을부터 사용되기 시작한 고급 멀웨어가 발견됨.
2. 파일레스 구성이라 발견이 매우 힘들어 아직까지 피해 규모 조차 파악할 수 없음.
3. 배후 세력은 현대 보안 시스템과 MS 서비스들에 대한 이해도가 높은 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 마일스톤시스템즈

    • 인콘

    • 센스타임

    • 센스타임

    • 아이브스

    • 아이디스

    • 비전정보통신

    • 웹게이트

    • 현대틸스
      팬틸트 / 카메라

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 유엔브이코리아

    • (주)아이리스아이디

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 다후아테크놀로지코리아

    • 한국씨텍

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 씨엠아이텍

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 아이쓰리시스템(주)

    • 성현시스템

    • (주)씨유박스

    • 프로브디지털

    • 트루엔

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 에스카

    • 주식회사 비앤에스

    • AIS테크놀러지

    • EOC

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 탄탄코어

    • 셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • (주)일산정밀

    • 다원테크

    • 구네보코리아주식회사

    • 코스템

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 티에스아이솔루션
      출입 통제 솔루션

    • 수퍼락

    • 지엘에스이

    • 완텍

    • (주)넥스트림

    • 대산시큐리티

    • 네티마

    • 지와이네트웍스

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엠스톤

    • 메트로게이트
      시큐리티 게이트

    • 동양유니텍

    • 케이컨트롤

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기