중국 정부가 후원하는 것으로 의심되는 공격자가 지난 3월부터 진행 중인 사이버공격 캠페인의 일환으로 아시아 여러 국가의 정부 및 국방 기관뿐만 아니라 디지털 인증 기관을 침해한 것으로 조사됐다고 시만텍이 전했다.

브로드컴 시만텍은 Billbug라는 이름으로 공격그룹을 추적하고 있으며, 현재까지는 데이터가 도난당한 것으로 알려져 있지 않지만, 스파이 활동과 데이터 절도를 위해 공격을 진행하고 있다고 밝혔다. 

Billbug 공격그룹은 Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, Thrip 등으로도 불리는 중국의 이익을 위해 활동하는 APT 그룹으로, 주요 대상에는 동남아시아의 정부 및 군사 조직이 포함된다.

분석 내용에 따르면, 2019년 공격에는 Hannotog 및 Sagerunex와 같은 백도어가 사용되었으며 홍콩, 마카오, 인도네시아, 말레이시아, 필리핀 및 베트남을 대상으로 공격한 것으로 조사됐다. 

시만텍 연구원은 "공격자가 인증 기관을 공격해 인증서에 액세스할 수 있었던 것처럼 인증 기관을 표적으로 삼는 것은 상당히 위협적이다. 이 공격을 활용해서 유효한 인증서로 맬웨어에 서명하고 피해자 시스템에서 탐지를 회피하는 데 도움이 될 수 있기 때문이다. 또한 손상된 인증서를 사용해 HTTPS 트래픽을 가로챌 수 있다"고 주의를 당부했다. 

더해커뉴스에 따르면, 최신 공격에 대한 분석에 따르면 인터넷에 연결된 애플리케이션을 악용하여 초기 액세스 권한을 얻은 다음 목표를 달성하기 위해 맞춤형 도구와 LotL( living-off-the-land) 도구를 조합하여 사용하는 것으로 나타났다고 전했다.

또 여기에는 WinRAR, Ping, Traceroute, NBTscan, Certutil과 같은 유틸리티와 임의 파일 다운로드, 시스템 정보 수집 및 암호화된 데이터 업로드가 가능한 백도어가 포함된다고 보도했다.

그리고 공격에서 탐지된 것은 Stowaway라고 불리는 오픈 소스 멀티 hop 프록시 도구와 Sagerunex 악성 프로그램으로, 이는 Hannotog를 통해 기기에 드롭된다. 백도어는 임의 명령을 실행하고, 추가 페이로드를 삭제하고, 관심 파일을 빼낼 수 있도록 되어 있다.

연구원들은 "한 번에 여러 피해자를 감염시킬 수 있는 능력은 이 위협 그룹이 지속적이고 광범위한 캠페인을 수행할 수 있는 숙련되고 자원이 풍부한 운영자라는 것을 보여준다”고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!