최근 사이버 위협이 급증하는 가운데 중국어를 사용하는 것으로 의심되는 사이버 위협 그룹이 우즈베키스탄 외교부와 한국 사용자를 대상으로 정교한 표적 공격을 시작한 것으로 알려졌다.

공격자들은 중국 출신으로 이 지역의 위협 공격자들이 과거에 사용한 것으로 알려진 악명 높은 Gh0st RAT의 맞춤형 변종인 SugarGh0st RAT라는 강력한 원격 액세스 트로이목마(RAT)를 사용했다.

시스코 탈로스 연구원들은 최근 이 중국 공격자들이 SugarGh0st RAT를 배포하기 위해 사용한 복잡한 감염 경로에 대해 공개했다. 내용은 다음과 같다.

◆피싱 이메일과 고급 난독화

이 위협 캠페인은 미끼 문서가 포함된 정교하게 제작된 피싱 이메일을 통해 시작된다. 이 문서를 열면 이메일의 RAR 압축 파일 첨부 파일에 포함된 고도로 난독화된 자바스크립트 드로퍼에 의해 다단계 프로세스가 시작된다.

시스코 탈로스 연구원은 "자바스크립트는 배치 스크립트, 사용자 정의 DLL 로더, 암호화된 SugarGh0st 페이로드, 미끼 문서 등이 포함된 파일을 디코딩하여 특정 폴더에 드롭한다."라고 설명했다.

피해자에게는 디코이 문서가 표시되고, 백그라운드에서는 배치 스크립트가 DLL 로더를 실행한다. 이 로더는 합법적인 윈도우 실행 파일의 복사된 버전인 rundll32.exe를 사이드로드해 SugarGh0st 페이로드를 해독하고 실행한다.

두 번째 변종 공격 역시 RAR 압축 파일을 활용하는데, 이번에는 미끼로 위장한 악성 윈도우 바로 가기 파일이 포함되어 있다. 이 변종 자바스크립트는 쉘코드를 실행하기 위해 DynamicWrapperX를 사용하며, 이후 SugarGh0st RAT를 실행한다.

◆SugarGh0st RAT 기능

C++로 작성된 32비트 동적 링크 라이브러리(DLL)인 SugarGh0st는 하드 코딩된 명령 및 제어(C2) 도메인과 연결된다. 이를 통해 멀웨어는 시스템 메타데이터를 서버로 전송하고, 리버스 쉘을 실행하고, 임의의 명령을 실행할 수 있다. 이 RAT는 프로세스 열거 및 종료, 스크린샷 캡처, 파일 작업, 심지어 탐지를 회피하기 위해 대상 시스템의 이벤트 로그를 지우는 등 다양한 기능을 사용할 수 있다.

이 캠페인이 중국 위협 공격자들과 연관되어 있다는 것은 2008년 Gh0st RAT의 소스코드가 공개되면서 드러났다. 디코이 파일의 메타데이터를 보면 '마지막 수정자'에 중국 이름이 표시되어 공격의 발원지를 알 수 있는 중요한 단서를 제공한다.

연구원들은 "Gh0st RAT 멀웨어는 중국 위협 공격자들의 주요 무기고이며 적어도 2008년부터 활동해 왔다."고 말한다. 또한, 중국 공격자들은 우즈베키스탄을 표적으로 삼은 전례가 있으며 더불어 해외에서 광범위한 첩보 활동을 벌이는데 주로 사용해 왔다고 전했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★