ESET(이셋)의 국내 법인 이셋코리아는 ESET 연구원들이 홍콩 민주화 라디오 방송국 D100의 뉴스 웹사이트가 손상되었음을 발견했다고 밝혔다.

이 사이트는 방문자의 Mac에 사이버 스파이 맬웨어를 설치하는 Safari 익스플로잇을 실행한다. 공격자들이 추구해 온 워터링 홀(watering-hole) 작전은 홍콩에서 정치적으로 활동적이고 민주화를 지지하는 개인들에 대한 공격일 가능성이 높다는 것을 보여준다.

이 사이트에 접속한 취약 방문자에 감염된 맬웨어는 ESET이 DazzleSpy라고 명명한 새로운 macOS 맬웨어였다. 이 맬웨어는 매우 다양한 민감 개인 정보를 수집할 수 있다.

macOS에서 실행되는 Safari 웹 브라우저에 대한 익스플로잇으로 이어지는 워터링 홀 공격에 대한 첫 번째 보고서는 Google에서 지난 11월에 발표했다.

ESET 연구원은 Google과 동시에 공격을 조사했으며 피해자들을 위태롭게 하는 데 사용된 표적과 맬웨어에 대한 추가 세부 정보를 밝혀냈다. ESET은 Google 팀에서 식별한 패치가 공격에 사용된 Safari 취약점을 수정한다는 것을 확인했다.

워터링 홀 공격을 조사한 Marc-Étienne Léveillé는 “브라우저에서 코드를 실행하는 데 사용되는 익스플로잇은 상당히 복잡하고 1,000줄 이상의 코드가 있다. 흥미로운 점은 일부 코드가 iPhone XS 이상의 iOS에서도 취약점이 악용될 수 있음을 시사한다는 것이다”라고 말했다.

이 캠페인은 2020년 LightSpy iOS 멀웨어가 홍콩 시민이 이용하는 웹사이트에 iframe 주입을 사용하여 WebKit 익스플로잇으로 이어진 것과 유사하다. 페이로드(DazzleSpy)는 다양한 사이버 스파이 활동이 가능하며, 손상된 컴퓨터에 대한 정보 수집, 지정된 파일 검색, 바탕 화면, 다운로드 및 문서 폴더의 파일 검색, 제공된 셸 명령 실행, 원격 화면 세션 시작 또는 종료, 디스크에 제공된 파일 쓰기 등의 작업을 수행할 수 있다.

ESET Research는 이 캠페인에 사용된 익스플로잇의 복잡성을 고려할 때 이 작업의 배후 그룹이 강력한 기술 능력을 갖추고 있다고 결론지을 수 있었다.

DazzleSpy에서 종단 간 암호화가 적용되어 누군가가 암호화되지 않은 전송을 도청하려고 하면 명령 및 제어(C&C) 서버와 통신하지 않는다는 점도 흥미롭다.

또 다른 흥미로운 점은 맬웨어가 감염된 컴퓨터의 현재 날짜와 시간을 확인한 후 이를 아시아/상하이 표준시(일명 중국 표준시)로 변환하여 C&C 서버로 보낸다는 것이다. 또한 DazzleSpy 악성코드에는 중국어로 된 여러 내부 메시지가 포함되어 있다.

▵워터링 홀 공격으로 홍콩 민주화 라디오 방송국 뉴스 웹사이트 손상

▵공격자는 사이트 방문자의 Mac에 사이버 스파이 맬웨어 DazzleSpy를 설치 하도록 Safari를 악용

▵홍콩에서 정치적으로 활동적이고 민주화를 지지하는 인물들이 표적이 될 가 능성이 높음

▵이 취약점은 iPhone XS 이상과 같은 기기의 iOS에서도 악용될 수 있음. 이 캠페인은 LightSpy iOS 맬웨가 같은 방식으로 유포된 2020년 캠페인과 유사함

▵페이로드(DazzleSpy)는 다양한 사이버 스파이 활동이 가능

▵ESET Research는 이 작업의 배후 그룹이 강력한 기술 능력을 가지고 있다고 결론지을 수 있음

▵이 맬웨는 중국 표준시를 사용하며 중국어로 된 내부 메시지를 다수 포함

한편 이 워터링 홀 공격과 DazzleSpy 멀웨어에 대한 자세한 기술 정보는 WeLiveSecurity에서 블로그 게시물 ‘Watering hole deploys new macOS malware, DazzleSpy, in Asia’를 참조하면 된다.

★정보보안 대표 미디어 데일리시큐!★