Home > 전체기사

중국의 APT 단체, 러시아 군 요원들 노리고 해킹 공격 실시

  |  입력 : 2022-04-28 16:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국의 브론즈프레지던트가 아시아 국가들만 주로 공격하더니 갑자기 칼 끝을 러시아로 돌렸다. 물론 일시적인 것으로 보이지만, 그래도 두 나라의 관계를 생각하면 상당히 놀랍다. 심지어 자신들이 늘 사용하던 멀웨어와 전략을 고스란히 사용하는 등, 정체를 감추려 하지도 않은 것처럼 보이기도 한다.

[보안뉴스 문가용 기자] 중국의 해킹 공격 대상은 적군과 아군을 가리지 않는 모양이다. 최근 중국 해커들이 러시아 군을 공격했다는 사실이 보안 업체 시큐어웍스(Secureworks)에 의해 드러났다. 공격의 주체는 중국 정부가 운영하는 APT 단체인 브론즈프레지던트(Bronze President)였다고 한다. 브론즈프레지던트는 무스탕판다(Mustang Panda)라고도 불리는 조직으로, 최근 플러그엑스(PlugX)라는 백도어를 사용해 러시아 군 요원들을 노린 것으로 보인인다고 시큐어웍스는 고발했다.

[이미지 = utoimage]


시큐어웍스에 의하면 공격자들은 러시아어로 된 PDF 문서를 통해 러시아 요원들의 장비를 감염시키고 있다고 한다. 이 문서는 러시아와 중국의 국경선 근처에 배치된 러시아 군 부대와 관련된 내용을 담고 있는 것처럼 만들어져 있다. 하지만 사실 이 파일은 PDF 파일이 아니라 .exe 파일이며, 확장자가 교묘히 감춰져 있기 때문에 PDF 파일로 보이는 것이라고 한다. 게다가 미리보기도 노출이 되도록 만들어졌기 때문에 속기 쉽다고 시큐어웍스는 밝혔다.

“이 가짜 PDF 문서는 벨라루스, 폴란드, 라트비아, 리투아니아 국경에서 제출 가능한 난민 자격 신청서처럼 만들어져 있습니다. 여기에 유럽연합의 제재와 관련된 내용도 언뜻 언급이 되어 있는 것처럼 보입니다. 멀쩡한 정상 문서처럼 보이며, 어지간히 꼼꼼하게 살피지 않으면 가짜인 걸 알 수 없습니다.” 시큐어웍스의 설명이다.

그렇게 속아 파일을 실행시키면(PDF인줄 알고 파일 열기를 시도하면 exe 파일이므로 뭔가가 실행된다) 추가 파일이 원격 서버로부터 다운로드 된다. 총 세 개의 파일이 피해자의 시스템에 안착하는데, 그 중 하나는 글로벌 그래픽스 소프트웨어(Global Graphics Software)라는 영국 일반 기업에서 정상적으로 서명한 파일이다. 이 파일은 DLL 검색 명령 하이재킹 기법을 사용해 플러그엑스의 최신 버전을 임포트 한다. 플러그엑스는 일종의 원격 접근 트로이목마로, 이전부터 브론즈프레지던트가 즐겨 사용하던 정찰 도구다.

시큐어웍스의 첩보 국장인 마이크 맥렐란(Mike McLellan)은 “DLL 검색 명령 하이재킹 공격은 공격자들 사이에서 꽤나 잘 알려진 기법”이라고 설명하며, “잘 알려진 벤더를 출처로 한 정상적인 실행 파일을 악성 라이브러리 파일(DLL 파일)과 함께 악의적으로 활용함으로써 암호화된 멀웨어 페이로드를 로딩하고 실행시키는 것”이라고 설명한다. “악성 페이로드 파일을 피해자의 디스크에 저장할 필요가 없기 때문에 탐지 기술을 회피하는 데 유용한 기술입니다. 일부 중국 단체들이 즐겨 사용하던 것이기도 합니다.”

공격자들은 공격의 진행 과정 중에 핑(ping) 명령을 활용함으로써 정상적으로 서명된 파일이 실행되기 전에 상당한 지연 시간을 두기도 했다. 즉 악성 기능이 본격적으로 활성화되기 전에 시간차를 둠으로써 악성 파일이 탐지에 최대한 걸리지 않고 다운로드 되도록 하는 것이라고 볼 수 있다.

한편 플러그엑스 멀웨어가 호스팅 되어 있는 서버는 올해 또 다른 보안 업체 프루프포인트(Proofpoint)가 플러그엑스 캠페인에 사용되고 있는 서버라고 지적한 적이 있는 바로 그 서버다. 당시 프루프포인트는 플러그엑스가 유럽에 있는 조직들에 플러그엑스가 유포되고 있다고 했었으며, 공격자의 동기는 러시아-우크라이나 전쟁과 관련이 있어 보인다고 밝혔었다. 프루프포인트도 브론즈프레지던트를 배후 세력으로 지목했었다.

브론즈프레지던트는 최소 2018년부터 활동을 해왔던 공격 단체다. 보안 업계 내에서는 중국 정부의 지원을 받아, 중국 정부를 위해서 활동하는 자들로 알려져 있다. 현재까지 아시아 국가의 여러 정부 기관들을 노리고 활동해 왔지만 다른 대륙에서도 종종 이들의 공격 흔적이 발견되기도 했다. 작년에는 보안 업체 맥아피(McAfee)가 “브론즈프레지던트가 미국, 아시아, 유럽의 통신 업체들을 겨냥해 공격을 실시하고 있다”고 발표한 적이 있다.

브론즈프레지던트가 러시아의 조직을 공격한 것은 이번이 처음이다. “그 동안 브론즈프레지던트는 90%가 미얀마와 베트남의 정부 기관들을 공격해 왔어요. 러시아를 노리기 시작했다는 건 정말 큰 변화라고 볼 수 있습니다. 물론 이는 일시적인 변화라고 보이며, 러시아와 우크라이나 전쟁이 종식되고 외교 상황이 안정되면 다시 아시아로 눈길을 돌릴 것이라고 봅니다.”

3줄 요약
1. 중국의 오래된 염탐 그룹, 브론즈프레지던트, 최근 러시아 군 정찰하기 시작.
2. 합법적으로 보이는 PDF 문건을 통해 플러그엑스라는 백도어 퍼트리고 있음.
3. 이들이 주로 사용하는 공격 기법은 검색 명령 하이재킹이라는 탐지 우회 전략.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)