중국과 연계된 사이버 스파이 집단인 APT41의 하위 집합으로 알려진 ‘어스 프레이버그(Earth Freybug)’로 알려진 위협 행위자 그룹이 사용하는 새로운 멀웨어 변종인 UNAPIMON이 발견됐다. 어스 프레이버그는 2012년부터 활동해 왔으며 스파이 활동과 금전 목적 해킹 활동을 수행하고 있다.
트렌드마이크로 보안 연구원에 따르면, 어스 프레이버그 그룹은 다양한 분야와 지역을 대상으로 활동하고 있으며 DLL(동적 링크 라이브러리) 하이재킹 및 API(애플리케이션 프로그래밍 인터페이스) 언훅킹과 같은 전술과 함께 맞춤형 멀웨어를 조합해 해킹을 수행하고 있다.
UNAPIMON과 관련된 공격 체인은 브이엠웨어 툴과 관련된 합법적인 실행 파일인 "vmtoolsd.exe"을 사용한다. 이 실행 파일은 "schtasks.exe"를 사용해 예약된 작업을 생성하고 감염된 시스템에 "cc.bat"이라는 파일을 배포하는 데 활용된다. 정확한 악성코드 주입 방법은 아직 공개되지 않았지만, 외부 서버를 악용하는 것으로 추정된다.
"cc.bat" 배치 스크립트는 시스템 정보를 수집하고 예약된 두 번째 작업을 시작하도록 설계되었으며, 이 작업은 동일한 이름의 다른 배치 파일을 실행하여 UNAPIMON 멀웨어를 배포한다. 특히, 두 번째 "cc.bat" 파일은 존재하지 않는 라이브러리를 로드하는 서비스를 악용해 TSMSISrv.DLL이라는 악성 DLL의 사이드 로딩을 용이하게 한다. 이 DLL은 또 다른 DLL 파일인 UNAPIMON을 드롭하는 동시에 회피 목적으로 cmd.exe와 SessionEnv에 자신을 주입한다.
간단한 C++ 기반 멀웨어로 설명되는 UNAPIMON은 중요한 API 함수의 연결을 해제하기 위해 우회 라이브러리를 사용하는 등 하위 프로세스가 모니터링되지 않도록 하는 기술을 사용한다. 이러한 회피 전략은 후킹을 통해 API 모니터링을 구현하는 샌드박스 환경에서 UNAPIMON이 탐지를 피하는 데 도움이 된다.
트렌드마이크로는 악성코드 제작자의 코딩 능력과 창의성이 얼마나 정교한지 강조하며, 악성 동작을 실행하기 위해 상용 라이브러리를 사용한다는 점에 주목했다. 이 보고서는 시간이 지남에 따라 어스 프레이버그의 진화를 강조하고 간단한 기법이라도 능숙하게 실행할 경우 그 효과가 얼마나 큰지를 강조했다. 어스 프레이버그는 이러한 기법을 기존 공격 패턴에 통합함으로써 보안 전문가의 탐지를 어렵게 하고 있어 각별한 주의가 필요하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★