중 해커, 아프가니스탄과 유럽의 방위 기업-공공 기관 노린다
상태바
중 해커, 아프가니스탄과 유럽의 방위 기업-공공 기관 노린다
  • 곽중희 기자
  • 승인 2022.08.10 17:44
  • 댓글 0
이 기사를 공유합니다

 

중국 해커가 아프가니스탄과 유럽의 방위 기업, 공공 기관을 대상으로 해킹을 감행하고 있다.

2022년 1월 카스퍼스키 ICS CERT 연구팀은 아프가니스탄과 동유럽의 방위 기업과 공공 기관에 대한 해킹 공격을 발견했다고 밝혔다. 

연구팀에 따르면, 중국 해커는 다수 기업에 침입해 IT 인프라를 손상시켜 보안 솔루션을 관리하는 시스템을 탈취했다.

카스퍼스키 연구팀은 “확인된 피해자들은 모두 방위 산업과 관련이 있는 공공 기관이다. 공격은 아프가니스탄뿐 아니라 여러 동유럽 국가(벨로루시, 러시아, 우크라이나)의 산업 공장, 설계국 및 연구 기관, 정부 기관, 부처를 대상으로 하고 있다”라고 설명했다.

해커는 주로 스피어 피싱 공격을 사용했으며 메시지에는 공개적으로 사용할 수 없는 피해자와 관련된 정보가 포함돼 있다. 이는 해커가 공격 대상에 대한 깊은 지식을 갖고 있음을 시사한다. 또한 이메일을 통해 CVE-2017-11882 취약점을 노린 악성 마이크로소프트 문서를 사용하기도 했다.

해커가 노린 CVE-2017-11882 취약점은 2000년과 2017년 사이에 출시된 마이크로소프트 버전에 영향을 미치는 메모리 손상과 관련이 있다. 이 취약점은 방정식(OLE 개체)의 삽입 및 편집을 담당하는 MS 오피스 구성 요소 EQNEDT32.EXE에 영향을 미친다. 구성 요소는 메모리의 개체를 제대로 처리하지 못한다. 이 버그는 로그인한 사용자의 컨텍스트에서 악성 코드를 실행할 수 있게 만든다.

이 취약점은 2017년에 패치됐지만, 해커들은 계속해서 취약점의 약점을 찾아내 대상 시스템에 여러 백도어를 배포하고 있다. 전문가들은 해커가 이를 사용해 중복 통신 채널을 생성했다고 말한다.

전문가들에 따르면, 이번 공격은 TA428로 추적되는 중국 APT 조직과 연관이 있다. 공격이 중국 해커와 관련이 있다는 증거는 중국에서 유행하는 해킹 유틸리티를 활용한 점, 중국에 위치한 2단계 CnC 서버를 활용한 점, CnC 서버 등록정보에 이메일이 포함되어 있다는 점 등이다.

또한 중국 해커들은 PortDoor라고 하는 백도어도 사용하는 것으로 알려졌다. PortDoor는 2021년 4월 Cybereason 연구원이 처음으로 발견했다. 당시 연구원은 중국 해커가 러시아 해군의 핵잠수함 설계에 관여하는 러시아 방위 계약자 Rubin을 목표로 삼았다고 보고했다.

Portdoor 백도어는 정찰, 대상 프로파일링, 추가 페이로드 전달, 권한 에스컬레이션, 프로세스 조작 정적 탐지 안티바이러스 회피, 1바이트 XOR 암호화, AES 암호화 데이터 유출을 포함한 다양한 기능을 가지고 있다.

IT 인프라에 대한 권한을 얻은 해커들은 민감한 정보를 훔치기 시작했다. 수집된 파일은 비밀번호로 보호된 ZIP 아카이브에 압축된 다음 세계 여러 국가에 있는 1단계 악성코드 C2 서버 중 하나로 전송됐다. 대부분의 경우 1단계 C2 서버를 사용하여 수신된 데이터를 중국의 2단계 서버로 리디렉션한다.

카스퍼스키 연구팀은 “우리가 발견한 공격이 첫 공격이 아니다. 이는 해커가 어느 정도 해킹에 성공했다고 볼 수 있다. 이에 앞으로도 유사한 공격이 지속될 가능성이 높다. 방위 기업과 공공 기관은 해킹 공격을 막기 위한 광범위한 조치를 취해야 한다”라고 강조했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.