정부와의 직접 관련 찾지 못했으나 후원이 든든한 건 분명해 보여
멀웨어와 페이로드는 정교하게 제작, 위조 문서는 엉성

[보안뉴스 문가용] 중국 내에서 활동하고 있는 소수민족 인권단체의 정보를 4년 동안 모아 온 한 해킹 그룹의 흔적을 팔로알토가 발견했다. 팔로알토는 이 그룹을 스칼렛 미믹(Scarlet Mimic)이라고 명명하고 지난 7개월 동안 추적해왔다.


스칼렛 미믹이 주로 노리던 표적은 티베트족과 위구르족으로 대표되는 중국 내 소수민족의 인권을 위해 행동하는 단체들이었다. 뿐만 아니라 러시아와 인도의 정부 기관들도 스파잉해온 것으로 드러났다. 가장 최근에 있었던 공격은 2015년으로, 모든 정보를 종합해보면 스칼렛 미믹은 무슬림 관련 활동가들과 러시아 정부에 비판적인 사람들에게 많은 관심이 있는 것으로 보인다고 한다.

전문가들은 아직까지 스칼렛 미믹과 중국 정부 사이의 관계를 암시하는 확실한 증거는 찾지 못했다고 한다. 하지만 여러 해킹 공격 패턴 및 표적을 봤을 때 “배경이 탄탄하고, 안정적인 후원을 받은 것으로 보인다”는 의견이다. 게다가 하필이면 스칼렛 미믹이 관심을 두는 단체와 중국 정부가 관심을 두는 단체가 겹친다는 것도 주목할 점이다.

스칼렛 미믹의 가장 주요한 무기는 페이크엠(FakeM)으로, 이는 쉘코드에 근거를 둔 윈도우용 백도어다. C&C 트래픽이 윈도우 메신저와 야후 메신저인 것처럼 교묘하게 위장하기 때문에 그런 이름이 붙었다(fake=가짜, M=메신저). 페이크엠은 상황과 목적에 따라 다양하게 변하고 바뀐다. 팔로알토에 따르면 SSL을 활용해 C&C 트래픽을 암호화하는 변종, 기존의 client hello라는 SSL 핸드쉐이크를 회피하는 맞춤형 SSL을 사용하는 변종도 발견한 적이 있다고 한다.

스칼렛 미믹은 아홉 가지 로더를 개발해 페이크엠을 퍼트렸다. 그리고 현재도 더 많은 플랫폼으로 감염의 손길을 뻗치고 있다. 페이크엠과 인프라를 공유하는 툴 중 팔로알토가 발견한 것은 1) Mac OSX용으로 만들어진 콜미(CallMe), 2) 안드로이드 모바일 기기용 트로이목마인 모바일오더(MobileOrder)와 인프라를 공유하며 페이크엠과 흡사한 쉘코드 기반의 업로더/다운로더인 사일로(Psylo)가 있다. “페이크엠, 사일로, 모바일오더 간의 관계를 봤을 때 스칼렛 미믹은 PC에서 모바일로 확장하고 있는 게 확실합니다. 이런 식의 방향 전환은 쉽지 않은데도 말이죠.”

또한 스칼렛 미믹은 스피어피싱 기법을 주로 활용하는 것으로 나타났다. 특히 가짜 문서를 적극 활용한다고 한다. 워터링홀 기법도 이들이 주로 사용하는 것이다. 다만 피싱 공격을 위한 가짜 문서는 그다지 정교하게 만들지 않았다고 한다. “트로이목마나 페이로드는 독창적으로 만들었으면서 문서는 MNKit, WingD, Tran Duy Linh 등 이미 널리 알려진 도구를 써서 대충 만들었더라고요.”

이 가짜 문서들의 제목은 ‘세계 위구르족 회의’ 등이었고 블라디미르 푸틴 러시아 대통령과 아돌프 히틀러를 비교한 인포그래픽 문건도 있었다. 중국 공안이 티베트 승려들을 체포하는 장면이 담긴 뉴욕 타임즈 기사로 위장하기도 했다.

스칼렛 미믹은 표적들이 직접 페이로드를 실행하도록 꾀기도 했지만 다섯 가지 취약점을 모두 악용해 정보를 추출하기도 했다. 이 다섯 가지 취약점이란 1) 엑셀의 메모리 커럽션 버그, 2) 액티브액스의 시스템 상태 커럽션 버그, 3) 파워포인트의 버퍼 오버플로우, 4) 마이크로소프트 오피스의 스택 관련 버퍼 오버플로우, 5) 어도브 리더와 아크로뱃의 쿨타입(CoolType) DLL이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>