2024-03-28 19:05 (목)
중국 APT15 그룹의 새로운 멀웨어 'MirageFox' 발견돼...주의
상태바
중국 APT15 그룹의 새로운 멀웨어 'MirageFox' 발견돼...주의
  • hsk 기자
  • 승인 2018.06.20 09:07
이 기사를 공유합니다

전세계 국방, 첨단 기술, 에너지 부문, 정부 기관, 우주 항공 산업, 제조업 등 타깃

hacker-1446193_640.jpg
중국과 연결된 APT15 그룹(Ke3chang, Mirage, Vixen Panda, Royal APT, Playful Dragon으로도 불림)이 과거 사용한 작전에서 일부 코드를 차용한 새로운 멀웨어를 개발한 것으로 보인다. APT15는 적어도 2010년부터 활동해온 그룹이며, 전세계 국방, 첨단 기술, 에너지 부문, 정부 기관, 우주 항공 산업, 제조업 등을 타깃으로 사이버 간첩 캠페인을 벌여왔다.

이들은 점점 더 정교한 수준의 맞춤 멀웨어와 다양한 익스플로잇을 보여왔다. 지난 몇년간 보안 업체들은 Mirage, BS2005, RoyalCLI, RoyalDNS, TidePool, BMW, MyWeb과 같은 APT15와 관련된 해킹 툴을 확인했다.

2018년 3월, APT15는 새로운 영국 정부 부처와 군 기관 계약 업체를 대상으로 하는 작전의 일환으로 새로운 백도어를 사용한 공격을 수행했다. 타깃 중 하나는 영국 정부 기관에 광범위한 서비스를 제공하는 NCC Group이었다. 공격자들은 회사 고객인 정부 부처와 군 기술을 타깃으로 한 것이다. NCC는 당시 APT15가 RoyalCLI 및 RoyalDNS로 추적된 새로운 백도어를 사용했다고 밝혔다.

백도어 중 하나는 바이너리 파일에 남아있는 디버깅 경로로 인해 RoyalCLI로 추적되었고, 이전에 BS2005로 사용한 백도어의 후속작으로 보인다. RoyalCLI와 BS2005 모두 COM 인터페이스 IWebBrowser2를 사용해 IE를 통해 C&C 서버와 통신한다. 공격자는 윈도우 명령을 사용해 첩보 활동을 수행하고, net 명령과 호스트 C$ 공유를 통해 내부로 전파하며 수동으로 손상된 호스트 사이에서 파일 복사를 수행했다.

보안 업체 Intezer의 연구원은 Mirage용 Yara룰에 기반한 Mirage 멀웨어를 조사하면서 APT15와 관련이 있는 새로운 멀웨어, MirageFox를 발견했다. Mirage는 APT15가 사용한 가장 오래된 툴로, 중국 APT 그룹이 수행한 사이버 첩보 캠페인과 관련된 Reaver 멀웨어를 위해 제작되었다.

분석 보고서는 “최근 미국 해군 계약 업체 해킹과 잠수함 기밀 정보 유출에 이어 우리는 APT15그룹의 최근 활동에 대한 증거를 발견했다. APT15는 중국 정부가 배후에 있으며 사이버 간첩 활동을 수행한다. 최근 캠페인에 사용된 악성코드 Mira-geFox는 2012년 제작된 Mirage 툴의 업그레이드 버전으로 보인다”고 언급한다.

MirageFox는 Mirage와 Reaver의 코드를 빌린 구성 요소 중 하나에서 발견된 문자열에서 유래한 이름이다. Mirage 멀웨어에는 원격 셸용 코드와 C&C 구성 데이터 복호화 기능이 포함되어 있다. Mirage는 BMW, BS2005, 특히 MyWeb을 포함해 APT15에 속한 다른 멀웨어들과 코드를 공유한다. 이와 같은 코드 유사성은 Reaver 멀웨어가 APT15에 의해 개발되었음을 증명한다.

Intezer는 “MirageFox는 APT15가 만든 이전 멀웨어와 유사하게 사용자 이름, CPU 정보, 아키텍처 등과 같은 정보를 수집한다. 수집한 정보들을 C&C에 전송한 후 백도어를 연 다음, C&C로부터 파일 수정, 프로세스 시작, 자체 종료 등과 같이 APT15의 RAT가 일반적으로 수행하는 기능에 대한 명령을 기다린다”고 설명한다.

연구원들이 분석한 샘플은 6월 8일에 컴파일 되었고, 9일에 Virus Total에 업로드 되었다. 멀웨어는 합법적인 McAfee 바이너리를 활용해 과거 공격에서 사용된 DLL 하이재킹을 통해 악의적인 프로세스를 로드한다.

전문가들은 또한 C&C 서버가 내부 IP 주소로 구성되어 있어 샘플이 기관을 대상으로 구성되었음을 확인했다. NCC Group이 RoyalAPT에 대해 언급한 보고서에 따르면, APT15가 VPN 개인 키를 훔친 후에 조직에 다시 침투했다는 언급이 있다. 따라서 멀웨어의 이 버전은 이미 침입을 완료한 기관에 맞춰져 VPN을 사용해 내부 네트워크에 연결함을 알 수 있다.

공격 벡터가 명확하지 않은 시점에서 IoC를 비롯한 추가 기술 정보가 지속적으로 보고되고 있다. Intezer는 MirageFox가 지닌 바이너리 코드 등 여러 유사점으로 인해 APT15와 관련이 있다고 확신하고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★