파이어아이, 중국 사이버 스파이 그룹 APT10의 새로운 해킹 기법 포착:: 보드나라

뉴스

단신뉴스

오늘의 주요뉴스

메인

전송 2017-04-27 11:22

[뉴스/보도자료]
파이어아이, 중국 사이버 스파이 그룹 APT10의 새로운 해킹 기법 포착

ㅔ파이어아이(지사장 전수홍, www.fireeye.kr)는 중국 사이버 스파이 그룹 “APT 10”이 새로운 해킹 기법을 활용해 공격 대상을 전 세계로 확장하고 있다고 밝혔다.

파이어아이는 지난 2009년부터 APT10을 추적해 왔는데, APT10은 그간 미국과 유럽, 일본의 건축, 엔지니어링, 항공우주, 텔레콤 기업 및 정부 기관 등을 주요 공격대상으로 삼아왔다. 파이어아이는 APT10의 활동이 중국국가 안보에 도움을 줄 수 있는 군사 및 국가 기밀 정보는 물론 중국 기업들을 위한 각종 비즈니스 데이터를 얻기 위한 것이라고 판단하고 있다.

파이어아이는 2016년과 2017년에 APT10이 점차 전 세계로 활동 영역을 넓혀나가고 있다는 사실을 포착했는데, 이 시기 APT10은 인도와 일본, 북유럽의 제조업체, 남아메리카의 광산회사, 다수의 글로벌 IT회사 등으로 공격 대상을 확장했다. 파이어아이는 이 기업들이 APT 10이 최종 목표하는 공격 대상이거나 공격 대상에게 접근하기 위한 거점이라고 밝혔다.

2016년과 2017년에는 APT10의 새로운 해킹 기법도 공개됐다. APT10은 지속적으로 사용해 온SOGU 공격에 더해 APT10만의 고유한 해킹 기법을 통해 사이버 공격을 저지르고 있는 것으로 드러났다. 파이어아이는 헤이메이커(HAYMAKER)와 스넉라이드(SNUGRIDE)가 초기 백도어 단계에서 사용 됐으며, 버그주스(BUGJUICE)와 맞춤형 오픈소스 콰사라트(QUASARRAT)가 두 번째 단계에서 사용됐다고 밝혔는데, 이 새로운 멀웨어는 APT10이 지속적으로 역량 개발과 해킹기법 혁신을 위해 노력하고 있다는 것을 잘 보여준다.

 헤이메이커(HAYMAKER)는 모듈 형태로 추가 페이로드를 다운로드하거나 실행할 수 있는 백도어다. 헤이메이커는 컴퓨터 이름, 러닝 프로세스 ID, %TEMP% 디렉토리 경로 및 인터넷 익스플로어 버전 등 기본적인 피해자 자료수집 활동을 수행한다. 헤이메이커는 시스템의 디폴트 유저에이전트 스트링을 사용해 정보를 C2 (command and control)서버에 전달한다.

 버그주스(BUGJUICE)는 양성파일로 시작해 악성 dll 을 양성파일에 사이드로딩하는 방식으로 실행하는 백도어다. 악성 dll은 이후 암호화된 쉘코드를 로드해 해독한 뒤 최종적으로 버그주스를 페이로드한다. 버그주스는 C2와 소통할 수 있도록 TCP에 디폴트 되지만, C2의 명령에 의해 HTTP나 HTTPs도 사용할 수 있다. 버그주스는 파일 탐색, 드라이브 열거, 데이터 빼내기, 스크린샷 찍기, 리버스쉘 열기 등을 할 수 있다.

 스넉라이드(SNUGRIDE)는 HTTP 요청을 통해 C2서버와 소통하는 백도어이다. 메시지는 고정키 AES를 사용하여 암호화된다. 멀웨어는 시스템 서베이, 파일시스템으로의 접근, 수행명령 그리고 리버스쉘 등이 가능하며, 런 레지스터리키를 통해 지속적으로 유지된다.

 콰서래트(QUASARRAT)는 https://github.com/quasar/QuasarRat에서 제공되는 오픈소스 RAT이다. APT10이 사용한 버전 (1.3.4.0, 2.0.0.0, and 2.0.0.1)은 일반인들에게는 제공되지 않는데, 이는 APT10이 오픈소스 버전을 더욱 맞춤화 했다는 사실을 입증한다. 2.0버전은 암호화된 AES 콰서래트 페이로드를 판독하고 실행하기 위한 드로퍼가 필요하다. 콰서래트는 모든 기능을 가진NET 백도어로 과거에 여러 사이버 스파이 그룹에서 이용됐다.

최근 ATP10 활동은 전통적인 스피어피싱과 MSP(Managed Security Provider)를 통하여 피해자의 네트워크에 접근하는 두 방식을 모두 사용한다. APT10 스피어피싱은 비교적 덜 복잡한데, 아카이브 내 .ink 파일과 중복 확장 파일들(“[Redacted]_Group_Meeting_Document_20170222_doc_.exe), 그리고 단순히 동일한 이름의 유인용 문서와 동일 아카이브 내 악성 런처 등을 활용한다.

파이어아이는 스피어피싱뿐만 아니라, APT10이 글로벌 MSP를 통하여 공격대상에게 접근하는 것을 포착했다. MSP는 고객 네트워크에 대한 특별한 접근권한을 가지고 있기 때문에, MSP 공격자는 MSP의 고객 네트워크로 접근할 수 있다. 또한, MSP의 고객과 MSP간의 웹 트래픽이 고객측 네트워크 방어자에게 정상적으로 보여질 수 있는데, 이는 해커들로 하여금 은밀히 데이터를 빼낼 수 있게 한다. 파이어아이가 관찰한 주목할 만한 사례로는 피해자의 MSP에 속한 서버를 통해 C2와 통신하도록 설정된 SOGU 백도어가 있었다.

APT10 공격자들은 SOGU 공격을 위해 다음과 같은 명령을 사용한다.

 sc create CorWrTool binPath= "\"C:\Windows\vss\vixDiskMountServer.exe\"" start= auto displayname= "Corel Writing Tools Utility" type= own

 sc description CorWrTool "Corel Graphics Corporation Applications."

 ping -a [Redacted]

 psexec.exe <orghost> d.exe

 net view /domain:[Redacted]

 proxyconnect - "port": 3389, "server": "[IP Address Redacted]"

위와 같은 명령은 피해자 시스템에 지속적으로 세팅되었고, 공격자들은 피해자의 MSP에 의해 관리되는 IP와의 연결을 테스트했다. MSP IP에 연결이 확인되면, 공격자들은 피해자의 SOGU 백도어를 위해 MSP IP를 프록시로 설정했는데, 이렇게 하면 SOGU 멀웨어 트래픽을 피해자의 MSP를 통해 효과적으로 라우팅함으로써 MSP의 네트워크에 거점을 만든다. 이 기술은 또한 악의적인 C2 및 데이터 반출 트래픽을 숨기고 위험하지 않은 것으로 보이게 한다.

태그(Tag) : 사이버 보안

관련 기사 보기

[뉴스] 씨큐비스타, 최신 사이버전쟁 동향 분석 '씨큐리포트' 발표
[뉴스] AMD, 마이크로코드 서명 취약점 해결
[뉴스] HPE 아루바 네트워킹, 중소기업 위한 엔터프라이즈급 인스턴트 온 시큐어 게이트웨이 출시
[뉴스] SKT 유심 해킹 혼란 틈타 악성앱·보이스피싱 기승
[뉴스] 넷앱, 스토리지 계층 사이버보안 표준 새롭게 제시
[뉴스] 지란지교소프트, 원티드랩과 보안 실무자 커뮤니티 공동 개최
태그(Tags) : 사이버 보안 관련기사 더보기

편집부 /

press@bodnara.co.kr

이기사와 사진은 업체에서 제공받은 보도자료와 사진으로, 보드나라의 논조와는 다르다는 점을 알려드립니다.

보드나라 많이본 기사

소니 풀프레임 시네마 라인 FX3a 출시, LCD 부품 단종으로 인한 마이너 체인지

오디오 名家 하만, 美 마시모社 오디오 사업부문 인수

레이저, 인체공학 디자인 휴대용 게이밍 키보드 및 마우스 출시

AMD 신규 엔트리급 VGA, 라데온 RX 7300 출시 준비?

시원한 통풍구가 인상적인 Wi-Fi 6 유무선 공유기, ipTIME AX3000Q

QHD 게이머란 정확한 목표 포착,GAINWARD 지포스 RTX 5060 Ti 고스트 8GB

AI부터 게임까지 다재다능 노트북, MSI 스텔스 14 AI Studio A1VFG-U7 퓨어 화이트

더 가까워진 메인스트림 16GB VRAM 시대, 기가바이트 어로스 지포스 RTX 5060 Ti 엘리트 16GB 제이씨현

이 기사의 의견 보기

닉네임

웹봇방지

2025년 05월

주간 히트 랭킹

시원한 통풍구가 인상적인 Wi-Fi 6 유무선 공유기, ipTIM

QHD 게이머란 정확한 목표 포착,GAINWARD 지포스 RTX 506

AI부터 게임까지 다재다능 노트북, MSI 스텔스 14 AI Stu

더 가까워진 메인스트림 16GB VRAM 시대, 기가바이트 어

메인스트림 라라랜드의 새로운 조화, 라이젠 5 9600X와

USB 연결로 간편하게 Wi-Fi 7 지원, ipTIME BE6500UA 무

대만산은 싸구려 취급하던 한국산 그래픽카드 전성시대,

서울 수도권에서 레트로 애플 제품을 만날 수 있는,유일

조금은 욕심 부려도 되잖아, GAINWARD 지포스 RTX 5060 T

AI로 디지털 대전환 2025 월드IT쇼, WIS 2025 현장취재

잘만테크, 9.1인치 IPS 디	삼성 오디세이 OLED G6	STCOM, 컬러풀 CVN B850I G



스마트카라 음식물처리기,	마피아 올드 컨트리	STCOM, PNY 지포스 RTX 506



‘손쉬운 연결, 자유로운 R	SONY ILME-FX3A	HPE 아루바 네트워킹, 중소