중국 기반 해커 '버드웜(Budworm)'이 미국 기업들을 노리고 있다.
버드웜(APT27 , Bronze Union , Emissary Panda , Lucky Mouse , TG-3390, Red Phoenix)은 지난 6개월 동안 여러 국가의 정부에 가해진 사이버 공격의 배후에 있는 해커 집단이다.
시만텍에 따르면, 버드웜은 2010년부터 활동해 왔으며, 미국 방산 기업, 금융 기업, 중앙 아시아 국가의 국영 데이터 센터를 포함한 전 세계를 대상으로 사이버 공격을 일삼아 왔다.
또한 이들은 차세대 무기를 겨냥한 사이버 스파이 활동과 반체제 인사 및 기타 민간 단체에 대한 감시 활동에도 참여했다.
독일 정보부에 따르면, 버드웜은 주로 HyperBro 원격 액세스 트로이 목마(RAT)를 사용한다. 데이터를 훔치기 위해 고객을 대상으로 공급망 공격을 시도한다. 또한 최근에는 Log4j 취약점(CVE-2021-44228, CVE-2021-45105)을 활용해 대상 서버에 웹셸을 설치하기도 했다.
한 보안 전문가는 “버드웜이 최근 공격에서 엔드포인트 권한 관리 소프트웨어인 CyberArk Viewfinity를 사용해 사이드 로딩을 수행했다. 해커는 일반적으로 자신을 숨기기 위해 파일 이름을 바꾼다. 바뀐 이름에는 securityhealthservice.exe, secu.exe, vfhost.exe, vxhost.exe, vx.exe. v.exe가 포함됐다. 경우에 따라 HyperBro 백도어에 자체 HyperBro 로더(파일 이름: peloader.exe, 12.exe)가 로드됐다. 악성 DLL을 로드하고 페이로드를 암호화하도록 설계했다"라고 설명했다. 아울러 버드웜은 최근 공격에서 PlugX/Korplug 트로이 목마도 사용했다.
전문가들은 “버드웜은 고가치 산업에 대한 공격으로 유명하다. 6~8년 전에는 미국 기업을 표적으로 한다는 보고가 자주 있었지만, 최근에는 아시아, 중동 및 유럽에서 주로 활동하고 있는 것으로 파악된다. 그런데 최근 다시 미국 기업을 노리고 있다”라고 분석했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
