동남아 정부 기관을 겨냥한 악성코드 ‘블러드알케미(BLOODALCHEMY, 피의연금술)’가 사실상 ‘Deed RAT’의 진화된 버전임이 밝혀졌다. 이 악성코드는 이전에 고도의 사이버 첩보 캠페인에서 사용된 악명 높은 ‘ShadowPad’ 도구에서 진화된 것이다.

‘BLOODALCHEMY’는 심각한 사이버 위협 현장에서 활발히 사용되어 왔으며, ShadowPad에서 진화한 것으로 나타났다. 일본 사이버 보안 기업 ITOCHU 사이버&인텔리전스는 BLOODALCHEMY와 Deed RAT 모두 ShadowPad와 유사한 코드구성을 갖고 있다고 분석했다.

엘라스틱 시큐리티 랩스는 2023년 10월 BLOODALCHEMY를 처음 문서로 공개한 바 있다. 이 악성코드는 REF5961로 알려진 침입 도구와 관련이 있으며, 이 캠페인은 동남아 국가들을 겨냥한 것으로 확인됐다.

BLOODALCHEMY는 정교한 감염 전략을 사용한다.

이 악성코드는 안전한 프로세스 ‘BrDifxapi.exe’에 C로 작성된 악성 백도어를 주입하는 DLL 사이드 로딩 기법을 사용한다.

이 과정은 합법적인 소프트웨어를 이용해 페이로드를 실행함으로써 탐지를 회피한다.

BLOODALCHEMY가 활성화되면 다음 기능들을 수행할 수 있다.

△기존 도구 세트를 덮어쓰기 △광범위한 호스트 정보를 수집 △추가적인 악성 페이로드를 로드 등이며 자신을 제거하고 종료할 수 있어 높은 수준의 은밀함과 유연성을 갖고 있다고 전문가들은 분석했다.

이 악성코드는 샌드박스 환경에서 분석을 회피하고 지속성을 설정하며 원격 서버와의 명령 및 제어 채널을 구축하기 위해 다양한 모드로 작동한다. 이러한 모듈식 접근 방식은 BLOODALCHEMY가 환경에 따라 행동을 조정할 수 있게 해 분석 및 완화하기가 쉽지 않다.

ITOCHU의 상세 분석 결과, BLOODALCHEMY는 Deed RAT와 독특한 데이터 구조와 셸코드 로딩 과정을 갖고 있다고 밝혔다. 이러한 유사성은 BLOODALCHEMY가 PlugX에서 시작되어 ShadowPad로 진화하고 이제 Deed RAT 악성코드 계열의 공격도구라는 것을 알 수 있다는 것이다.

PlugX와 ShadowPad 모두 중국 연계 해킹 그룹에 의해 광범위하게 사용되고 있다. BLOODALCHEMY는 중국 공격그룹들 사이에서 중앙 집중식 사이버 도구와 전술이 존재하고 있다는 말해주고 있다.

즉 중국 정부 후원 해킹 그룹들이 사이버 첩보 활동을 위한 공격 도구 공유 풀을 유지하고 배포하고 있다는 것을 알 수 있어 동남아 국가들 뿐만 아니라 한국도 각별히 주의해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★