익명의 해커 집단이 2021년 초부터 여러 아시아 국가의 정부 및 공공 기관을 표적으로 삼고 있다.
시만텍 보안 연구팀은 "이전에 ShadowPad 원격 액세스 트로이 목마(RAT)와 연관됐던 해커가다양한 해킹 도구를 통해 여러 아시아 국가의 다양한 정부 및 국영 조직에 대한 지속적인 공격을 감행했다. 적어도 2021년 초부터 시작된 공격은 정보 수집을 주요 목표로 하는 것으로 보인다”라고 분석했다.
해커들은 금융, 항공 우주, 국방과 관련된 정부 기관과 국영 미디어, IT-통신 기업을 대상으로 멀웨어를 배포했다.
해커는 DLL(동적 연결 라이브러리) 사이드 로딩을 사용해 악성코드를 전달했다. 이는 합법적인 DLL이 발견될 것으로 예상되는 디렉토리에 악성 DLL을 배치하는 방식으로 이뤄진다. 해커는 악성 페이로드를 실행할 수 있게 설계된 응용 프로그램을 실행한다.
아울러 해커는 DLL 사이드 로딩 공격에 대한 완화 기능이 부족한 보안 솔루션, 그래픽 소프트웨어 및 웹 브라우저의 구식 버전을 대상으로 한다.
시만텍 보안 연구팀은 “해커가 악성 DLL을 로드하면 악성코드가 실행돼 .dat 파일에 연결된다. 이 파일에는 메모리에서 다양한 페이로드 및 관련 명령을 실행하는 데 사용되는 임의의 셸 코드가 포함돼 있다. 경우에 따라 임의 셸 코드가 암호화되기도 한다”라고 설명했다.
해커는 또한 합법적인 소프트웨어 패키지를 활용해 측면 이동을 수행하는 데 사용되는 추가 도구(자격 증명 덤핑 도구, NBTScan, TCPing, FastReverseProxy, FScan과 같은 네트워크 스캐닝 도구, Ladon 침투 테스트 프레임워크)를 배포한다.
해커가 백도어 액세스를 설정하면 Mimikatz 및 ProcDump를 사용해 자격 증명을 수집하고 대상 네트워크에 대한 접근 권한을 얻을 수 있다. 어떤 경우에는 레지스트리를 통해 자격 증명을 덤프하기도 한다.
전문가들은 해커가 PsExec을 사용해 기존 버전의 합법적인 소프트웨어를 실행하고, RATS를 로드하는 것을 관찰했다.
또한 Ntdsutil과 같은 다양한 도구를 사용해 Active Directory 데이터베이스 및 로그 파일에 접근하기 위해 Active Directory 서버의 스냅샷을 마운트하고 Dnscmd 명령줄 도구를 사용하여 네트워크 영역 정보를 열거했다.
전문가들은 이번 스파이 공격에 대한 세부 정보를 공유했다. 침입은 2022년 4월부터 7월까지 지속됐으며, 이 기간 동안 공격자는 도메인 컨트롤러에 접근하기 전에 데이터베이스와 이메일을 호스팅하는 시스템에도 접근했다.
전문가들은 이번 스파이 활동을 특정 해커 집단의 행위라고 보진 않지만, 중국과 연결된 APT가 일반적으로 사용하는 ShadowPad 백도어와 비슷한 점은 분명히 있다고 말했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
