중국 사이버 스파이 그룹으로 알려진 ‘어스 루스카(Earth Lusca)’가 ‘SprySOCKS’라는 리눅스 백도어를 통합해 운영을 강화하고 있다.

이 툴킷에 추가된 이 최신 툴킷은 이전에 알려진 "트로키루스" 윈도우 원격 액세스 트로이목마(RAT)를 변형한 것으로 보인다. SprySOCKS는 어스 루스카의 공격 범위를 리녹스 시스템으로 확장해 표적 네트워크에 침투하고 손상시키는 능력을 강화하고 있다.

지난 2017년에 소스코드가 공개된 트로키루스는 위협 공격자가 원격으로 파일을 설치 및 제거하고, 키 입력을 기록하고, 화면을 캡처하고, 파일을 관리하고, 레지스트리를 편집할 수 있는 다양한 기능을 갖춘 RAT로 잘 알려져 있다.

또한 손상된 시스템 내에서 측면 이동을 용이하게 한다. 사이버 보안 기업 트렌드 마이크로(Trend Micro)의 분석가들은 스프라이삭스를 면밀히 모니터링하고 분석한 결과, 주요 실행 루틴과 문자열이 트로키루스에서 유래한 것으로 보이며, 여러 기능이 리눅스 환경에 맞게 재구현되었다고 밝혔다.

SprySOCKS의 주요 특징 중 하나는 대화형 셸로, 2008년부터 지능형 지속적 위협(APT) 공격자들이 활용해 온 RAT 제품군인 Derusbi의 리눅스 버전에서 영향을 받은 것으로 보인다. 또한 SprySOCKS의 명령 및 제어(C2) 인프라는 확장된 사이버 스파이 캠페인에 사용되는 2단계 RAT인 RedLeaves의 인프라와 유사하며, 이는 어스 루스카가 기존 위협 행위자 그룹과 연관되어 있음을 알 수 있다.

어스 루스카는 2021년 중반에 등장한 이래로 주로 아시아, 라틴 아메리카 및 기타 지역의 정부 기관을 표적으로 삼아 비교적 파악하기 어려운 존재로 남아 있다.

트렌드마이크로의 분석에 따르면 중국의 경제적 목표를 지원하기 위해 활동하는 것으로 알려진 사이버 스파이 그룹인 윈티와 연계되어 있는 것으로 추정된다. 이들의 공격 대상은 정부 기관, 교육 기관, 민주화 및 인권 단체, 종교 단체, 미디어 회사, 코로나19 연구 관련 기관 등 다양하다. 한편 어스 루스카는 때때로 암호화폐 및 도박 회사를 표적으로 삼아 금전적 이유로 공격을 하는 것으로도 알려져 있다.

이 공격그룹의 해킹 수법에는 스피어 피싱, 사회 공학 사기, 워터링 홀 공격을 통해 표적 네트워크에 침투하는 방식이 포함된다. 이 그룹은 올해 초부터 패치가 적용되지 않은 공개된 취약점을 가리키는 'N-day' 취약점을 공격적으로 악용했다. 이 전략에는 CVE-2022-40684, CVE-2022-39952, CVE-2019-18935와 같은 취약점을 활용해 피해자 네트워크에 침투하는 것이 포함된다. 특히 어스 루스카는 공개된 서버를 표적으로 삼아 알려진 취약점을 찾아서 악용한다.

이들의 주요 목표는 피해자의 네트워크에 침투해 웹쉘을 배포하고, 최종적으로 새도우패드 및 리눅스 버전의 Winnti와 같은 백도어를 설치하는 것이다. 이를 통해 표적에 대한 장기적인 스파이 활동을 수행할 수 있다. 공격자들은 중요한 문서, 이메일 계정 자격 증명 및 기타 민감한 정보를 유출하는 것을 목표로 하고 있다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★