한국 등 아시아권 타깃으로 APT 공격...스택 프레임 파괴하는 악성코드 유포

[보안뉴스 김경애] 최근 한국을 포함해 아시아권을 대상으로 한 APT 공격이 진행됐던 것으로 드러났다.


해당 조직은 G_9090으로 지난 2013년 4월 이후부터 최근까지 지속적인 공격을 시도하고 있으며, 공격자가 뿌린 악성코드는 피해 시스템의 최상위 권한을 획득한 후 조직의 주요 정보 자산을 노출하고 변조시킬 수 있다.

NSHC RedAlert팀에 따르면 G_9090 조직은 초기단계에서 사용된 도메인의 등록 계정이 중화권(중국/홍콩)으로 중국에서부터 공격이 시작됐다며 더미코드를 이용해 스택프레임을 파괴한다고 밝혔다.

더미 코드는 함수진행 흐름에 전혀 영향을 미치지 않으나, 더미 코드를 과도하게 사용할 경우 싱글스탭 디버깅(Single-step Debugging)을 어렵게 한다. 또한, 스택프레임 구조가 변경되어 일부 어셈블리 디컴파일러(Assembly Decompiler)의 기능을 무력화시키게 된다.

악성코드 식별의 주요 지표가 되는 문자열들은 싱글바이트 인크립션(Single-byte Encryption) 방식을 통해 데이터가 암·복호화되며, 암호화된 데이터의 경우 파일 마지막 부분의 특정 영역에 저장되어 있는 것으로 분석됐다.

C&C 서버와의 통신은 HTTP 방식으로 진행되며, 해당 악성코드는 △시스템/사용자 기반 정보수집 △2차 공격 실행 및 플러그인 동작 △백도어 등의 기능이 있으며, 해당 기능들은 APT 라이프사이클에서 백도어를 이용해 피해 시스템에 침투하는 단계에 이용되는 것으로 알려졌다.

한국을 타깃으로 한 APT 공격에서 사용된 C&C 서버의 경우 등록 이름은 ****com이며, 등록 국가는 China이다. 등록 이메일은 ******1cs@11gd.com이며, 등록 유효기간은 2013년 8월 5일부터 2014년 8월 5일까지인 것으로 나타났다.

이와 관련 NSHC RedAlert팀은 “하루 평균 4개 이상의 변종 악성코드를 생성해 한국 등 아시아를 대상으로 공격을 시도했다. 이는 APT 라이프사이클 관점에서 보면 매우 조직적으로 수행되는 규모”라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>