센티넨원의 보안 연구원이 Aoqin Dragon이라는 중국 연계 APT 해커 조직의 동남아시아와 호주의 기업을 표적으로 한 사이버 공격을 발견했다.
보안 연구원에 따르면, Aoqin Dragon은 동남아시아-호주 정부, 교육, 통신 기관을 겨냥하고 있는데 이들은 최소 2013년부터 활동했으며 주로 문서 도용과 가짜 USB를 통해 초기 접근을 모색하고 있다.
Aoqin Dragon이 사용하는 해킹 기술로는 ▲DLL 하이재킹 ▲Themida 압축 파일 배포 ▲침해 후 탐지를 피하기 위한 DNS 터널링 등이 있다.
• DLL 하이재킹: 윈도우에서 모든 응용 프로그램을 실행하는 데 필요한 DLL(동적 연결 라이브러리) 파일을 원래의 DLL 파일이 아닌 위조된 DLL 파일로 대체해, 해당 응용 프로그램을 실행하게 되면 바꿔치기 된 위조 DLL 파일의 라이브러리가 참조되면서 PC가 해킹되거나 바이러스에 감염되게 하는 사이버 공격
• DNS 터널링: 사이버 공격의 일종으로 DNS(도메인 네임 시스템) 요청과 응답 내에 데이터나 프로토콜을 암호화해서 숨기는 것을 말한다.
Aoqin Dragon의 감염 사슬 및 TTP는 수년에 걸쳐 진화했으며 공격 전략을 세 부분으로 나누고 있다. 먼저 문서 익스플로잇을 통해 백도어를 설치하기 위해 감염된 Word 문서를 열도록 사용자를 속인다. 이후 사용자가 가짜 안티 바이러스를 두 번 클릭하도록 유도해 시스템에서 멀웨어를 실행한다.
또한 이들은 사용자가 잘못된 폴더를 열고 멀웨어를 설치하도록 유인하기 위해 가짜 이동식 장치를 위조한다. 대부분의 문서는 APAC(아시아 태평양) 관련 정치 문제에 관심이 있는 대상을 주제로 한다. 뿐만 아니라 이들은 음란물을 주제로 한 문서도 사용하고 있다.
보안 연구원에 따르면, 첫 번째 백도어는 Mongall이라는 이름을 가지고 있다. 이는 오픈소스 Heyoka 백도어의 수정된 버전으로 원격 셸을 생성하고 임의로 파일을 업로드 및 다운로드할 수 있게 조종한다. 이번에 발견된 Heyoka 백도어의 사용자 지정 버전은 감염된 시스템에서 프로세스를 종료하고 파일을 조작하고 프로세스 정보를 수집한다.
2018년부터 현재까지 Aoqin Dragon은 초기 감염 매개체로 가짜 USB를 사용하고 있으며, 탐지를 피하기 위해 시간이 지남에 따라 악성 코드를 수정하는 것으로 알려졌다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
