앱 업데이트 가로채 악성코드 심는 정교한 AiTM 공격
위챗 정보 탈취·DNS 하이재킹 등 전방위 사찰 기능 탑재
신뢰할 수 있는 다운로드 경로 오염시키는 공급망 위협

[보안뉴스 김형근 기자] 중국 연계 해킹 그룹이 라우터와 엣지 디바이스를 장악해 네트워크 트래픽을 가로채고 조작하는 새로운 공격 프레임워크인 ‘디나이프(DKnife)’를 운영 중인 것으로 드러났다.


더해커뉴스 등 외신에 따르면, 시스코 탈로스(Cisco Talos) 연구팀은 최근 발견된 디나이프가 7개의 리눅스 모듈로 구성된 정교한 도구로 중간자(AiTM·Adversary-in-the-Middle) 공격을 수행한다고 밝혔다. 공격자들은 이를 통해 네트워크의 관문인 라우터를 장악하고 패킷을 분석해 사용자 몰래 데이터를 변조하는 수법을 사용하고 있다.

디나이프의 핵심 기능은 정상적인 애플리케이션 업데이트 요청을 가로채 악성코드로 바꿔치기하는 것이다. 사용자가 신뢰하는 앱을 업데이트한다고 생각하는 순간, 실제로는 해커가 심어둔 악성 파일을 다운로드하는 방식이다.

디나이프는 위챗 정보 탈취, 이메일 암호 복호화, DNS 하이재킹 등 광범위한 감시 기능을 탑재했다. 특히 쇼핑·뉴스·게임 등 사용 빈도가 높은 앱의 업데이트 매니페스트(Manifest)를 식별하고, 이를 공격자의 서버로 유도해 기기를 감염시킨다.

보안 업계는 라우터와 같은 엣지 디바이스가 보안이 상대적으로 취약하다는 점을 공격자들이 파고든 것으로 분석했다. 엔드포인트 기기가 아닌 네트워크 인프라 자체를 오염시킴으로써, 사용자가 감염 사실을 인지하기 어렵게 만드는 고도의 은닉 전략이다.

디나이프는 보안 프로그램의 통신을 방해해 탐지를 회피하는 기능도 갖추고 있다. 또한, 섀도우패드(ShadowPad)나 다크님버스(DarkNimbus)와 같이 잘 알려진 백도어 악성코드와 연동돼 감염된 기기에 대한 지속적인 접근 권한을 유지하고 제어권을 확보한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>