2024-04-18 14:50 (목)
쉐도우패드 멀웨어, 중국 정부와 연관
상태바
쉐도우패드 멀웨어, 중국 정부와 연관
  • 페소아 기자
  • 승인 2022.02.17 11:32
이 기사를 공유합니다

사이버보안 연구진은 최근 몇 년 사이 중국 내 민간 및 군사 정보기관과 연계하는 한편, 점점 더 많은 수의 중국 위협 단체들이 채택하고 있는 정교한 모듈식 백도어인 쉐도우패드(ShadowPad)의 내부 작업을 상세히 설명했다.

더해커뉴스 보도에 따르면, 시큐어웍스(Secureworks) 연구진은 "ShadowPad는 맞춤형 암호 해독 알고리즘을 사용해 메모리에서 해독된다"며 "ShadowPad는 호스트에 대한 정보를 추출하고 명령을 실행하고 파일 시스템 및 레지스트리와 상호 작용하며 새로운 모듈을 구축하여 기능을 확장한다."고 밝혔다.

ShadowPad는 PlugX 악성코드와 NetSarang, CCleaner, ASUS에 대한 세간의 이목을 끄는 공격에 사용된 것과 눈에 띄는 중복 사항들을 공유하는 모듈식 악성코드 플랫폼으로 운영자들이 전술을 전환하고 방어 수단을 업데이트하도록 했다.

초기 캠페인은 Bronze Atlas 일명 Barium(Chengdu 404 라는 이름의 네트워킹 보안 회사에서 일하는 중국 국적자)으로 추적되는 위협 클러스터 때문이었지만, 2019년 이후 여러 중국 위협 그룹에 의해 사용되고 있다.

사이버보안 기업 센티넬원(SentinelOne)은 2021년 8월 악성코드에 대한 상세한 개요에서 ShadowPad를 "중국 스파이 분야에서 개인적으로 판매되는 악성코드의 걸작"이라고 평가했다. 2021년 12월 PwC의 후속 분석 결과, ShadowPad 바이너리의 악성 32비트 및 64비트 페이로드를 난독화하는 데 사용되는 맞춤형 패킹 메커니즘인 ScrateBee가 밝혀졌다.

악성 프로그램 페이로드는 전통적으로 DLL 로더 내에서 암호화되거나 DLL 로더와 함께 별도의 파일에 내장된 호스트에 배포되며, 이는 악성 프로그램 버전에 맞춘 맞춤형 암호 해독 알고리즘을 사용하여 메모리에 내장된 ShadowPad 페이로드를 해독하고 실행한다.

이러한 DLL 로더는 프로그램으로 로드하는 데 필요한 DLL을 찾는 데 사용되는 방법을 하이재킹하여 멀웨어를 실행할 수 있는 기술인 DLL 검색 순서 하이잭킹에 취약한 합법적인 실행 파일에 의해 사이드로딩된 후 멀웨어를 실행한다.

시큐어웤스가 관찰한 선별 감염 체인에는 합법적인 바이너리(예: BDReinitexe 또는 Oleview.exe)를 사용하여 DLL을 사이드로드하는 암호화된 파일을 포함하고 있으며, 다음으로 로드되고 이 암호화된 파일을 복호화한다.

대신, 위협 행위자는 원격 데스크톱 구성(SessionEnv) 서비스에 의해 로드될 수 있도록 Windows System32 디렉터리에 DLL 파일을 배치하여 궁극적으로 손상된 시스템에 코발트 스트라이크를 배포했다.

한 ShadowPad 사건에서, 침입은 자동화된 스크립트를 사용하지 않고 감염된 시스템에 수동으로 로그하여 명령을 실행하는 공격을 가리키는 실제 키보드 공격을 시작할 수 있게 조성했다.

또한, 시큐어웍스는 ShadowPad 활동 집단을 Bronze Geneva(Hellsing), Bronze Butler(Tick), Bronze Huntley(Tonto Team)를 포함하는 인민해방군 전략지원군(PLASSF)과 연계해 활동하는 중국 국가 후원 그룹으로 분류했다.

연구원들은 "증거[…]는 ShadowPad가 지역 위협 사령부를 대신하여 활동하는 PLA 관련 위협 그룹뿐만 아니라 MSS 관련 위협 그룹들에 의해 배치되었음을 암시한다. 이 악성코드는 Bronze Atlas와 연계된 위협 행위자들이 개발한 뒤 2019년쯤 MSS 및 PLA 위협 단체와 공유했을 가능성이 높다"고 말했다.

◇2022 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최

-부제: 최신 국내〮외 사이버위협 동향 및 방어 전략 공유

-일시: 2022년 02월 22일 화요일 오전 9시~오후 5시30분

-장소: 더케이호텔서울 2층 가야금홀

-주최: 데일리시큐

-참석대상: 정부, 공공, 금융, 대기업 등 CISO, CPO, 정보보안 실무자 250여 명(학생/프리랜서/보안과 관련없는 자는 참석제한)

-보안교육: 7시간 이수증 발급

-방역: 좌석간 거리두기, 손소독, 체온체크 등

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
페소아 기자
페소아 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트