한국과 일본의 정상적인 웹사이트 침해해 멀웨어 퍼트리는 중국 해커
댑터, xxmm, 엠디비 등 정찰에 특화된 멀웨어 사용하고 있어

[보안뉴스 문가용 기자] 중국의 사이버 정찰 단체인 틱(Tick)이 최근 공격에서 댑터(Dapter)라는 멀웨어를 사용하기 시작했다고 시스코 탈로스 팀이 밝혔다. 틱의 또 다른 이름은 레드볼드나이트(Redbaldknight) 혹은 브론즈 버틀러(Bronze Butler)로, 지난 수년 동안 한국과 일본을 주로 공격해 왔다. 이번에 발견된 댑터의 피해자들 또한 이 두 나라에 있다고 한다.


틱은 자신들이 직접 제작한 툴을 사용해온 것으로 유명하다. 그러나 공격 인프라를 사용하는 데에 있어서는 중복되는 부분이 발견됐다. 특히 하이재킹 한 C&C 도메인이나 IP 주소를 사용하는 데 있어서는 공격마다 유사한 점이 나타나기도 했다. 그런 점에 착안해 틱이 사용해온 댑터, xxmm, 엠디비(Emdivi) 등의 멀웨어 패밀리들을 분석했을 때도 비슷한 점들이 발견됐다.

그 중 최근에 탈로스가 밝힌 틱의 캠페인에서 사용된 건 댑터인데, 이 멀웨어는 셸 명령어를 감염된 시스템에서 실행할 수 있으며, 호스트 이름과 드라이브 정보를 추출할 수 있다. 하지만 아직까지 어떤 경로로 시스템을 감염시키는지는 정확히 알 수 없다고 한다.

탈로스가 분석한 댑터 변종의 경우는 정상적인 한국 세탁 서비스 웹사이트 ***피아를 침해하고, 이를 C&C 채널로 활용했다. 해당 웹사이트는 SSL 암호화나 인증서 기술을 사용하고 있지 않다. 그러므로 애초부터 공격에 취약한 것으로 알려졌다.

그 외에도 C&C로 악용되고 있는 사이트들을 탈로스는 여러 개 찾아낼 수 있었다. “이러한 점을 봤을 때 댑터는 웹 기반 공격으로 배포되고 있을 가능성이 높습니다. 드라이브 바이 다운로드(drive-by-download)나 워터링홀 공격 기법이 유력합니다.”

또한 탈로스는 침해된 웹사이트와 상관이 없는 호스트들도 C&C 서버로서 활용되고 있는 걸 발견했다. “이를 보건데 해커들이 최초로 C&C 인프라를 정상적으로 취득한 호스트 내에서 구축한 것으로 보입니다. 아마도 호스트 사용권을 정상적으로 구매해서 악용한 것이 아닐까 합니다.”

탈로스는 공격자들이 이러한 C&C 서버를 한국과 일본에서만 마련하고 있다고 강조했다. “공격자들은 C&C 인프라를 주기적으로 바꿉니다. 그동안 꾸준하게 한국과 일본의 취약한 웹사이트들을 찾아내고 침해하는 수법을 사용해온 것으로 보입니다.”

침투에 성공한 이후 댑터는 뮤텍스(mutex) 객체를 하나 생성하고 기기로부터 여러 가지 정보를 수집한다. 시스템 정보, 키보드 레이아웃 등이 여기에 포함된다. 그 다음으로 HTTP GET 요청을 C&C 서버로 전송한다.

댑터의 C&C 서버로 활용되던 웹사이트 중에 xxmm이라는 백도어를 호스팅하는 경우도 있었다. xxmm은 무림(Murim)아니 우림(Wrim)이라는 이름으로 불리기도 하며, 이전부터 틱이 사용해온 것으로 알려져 있었다.

탈로스가 확보한 댑터 샘플은 2018년 3월에 컴파일 된 것으로, 이전에 틱이 엠디비라는 멀웨어를 사용했을 때와 같은 인프라 및 IP 주소와 엮여 있었다. 엠디비는 일종의 백도어로 틱이 이전에 블루 터마이트(Blue Termite)라는 캠페인에서 활용한 바 있다.

정상적이지만 보안이 제대로 갖춰지지 않은 한국의 웹사이트들이 해외 세력의 공격에 노출되어 있어, 긴급한 조치가 필요하다.

3줄 보안
1. 한국과 일본의 정상적인 웹사이트 침해해 C&C 서버로 활용하는 중국의 공격 단체, 틱.
2. 댑터, xxmm, 엠디비라는 멀웨어가 주로 사용됨.
3. 최초 경로 알 수 없으나 웹 기반 공격과 정상 호스트 구매가 의심됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>