2024-06-22 11:35 (토)
중국 국가 배후 해킹 그룹 '사라지지 않는 바다 안개'...이들의 은밀한 사이버 스파이 활동 공개돼
상태바
중국 국가 배후 해킹 그룹 '사라지지 않는 바다 안개'...이들의 은밀한 사이버 스파이 활동 공개돼
  • 길민권 기자
  • 승인 2024.05.23 12:43
이 기사를 공유합니다

이 조직의 은밀한 스파이 활동, 미국을 비롯해 다양한 국가들에 상당한 위협

2018년부터 새롭게 확인된 지능형 지속 위협(APT) 그룹인 '언페이딩 씨 헤이즈(Unfading Sea Haze, 사라지지 않는 바다 안개)'가 레이더망 아래에서 은밀히 활동해 온 것이 확인됐다.

비트디펜더 연구원들이 발견한 이 위협 그룹은 주로 중국의 지정학적 이해관계에 따라 남중국해 지역의 군사 및 정부 기관을 표적으로 삼고 있다. 이 그룹의 정교한 공격방법, 다른 중국 국가 지원 행위자들과 중복되는 기술, 정보 수집에 중점을 두는 점으로 인해 사이버 스파이 활동 환경에서 중요한 위협이 되고 있다.

언페이딩 씨 헤이즈는 중국 국가가 후원하는 사이버 공격의 특징인 다양한 전술, 기법 및 절차(TTP)를 사용하고 있다. 이들의 공격은 일반적으로 정상적인 파일로 위장한 악성 ZIP 압축 파일이 포함된 스피어 피싱 이메일로 시작되었다. 이 ZIP 파일에는 난독화된 파워쉘 스크립트를 작동시키는 LNK 파일이 포함되어 있으며, 이 스크립트는 MS의 합법적인 MSBuild 도구를 사용하여 파일리스 멀웨어를 메모리로 직접 실행하게 하였다. 이 방법은 피해자의 컴퓨터에서 추적을 어렵게 한다. 

파워쉘 스크립트는 먼저 보안솔루션 이셋 실행 파일의 존재 여부를 확인하고 발견되면 중지하였다. 그렇지 않은 경우, MSBuild를 통해 'SerialPktdoor'라는 백도어를 실행하여 손상된 시스템을 원격으로 제어할 수 있도록 했다. 이러한 파일 없는 접근 방식과 MSBuild와 같은 합법적인 도구를 사용해 탐지를 피하고 지속성을 유지한다.

◆도구 및 기법

1. 파일리스 멀웨어와 MSBuild: 언페이딩 씨 헤이즈는 MS빌드를 혁신적으로 사용하여 로컬 스토리지에 흔적을 남기지 않고 원격 서버에서 악성 코드를 실행하였다. 이 방법은 MSBuild의 작업 디렉터리를 원격 SMB 서버로 설정하여 서버에서 찾은 프로젝트 파일을 메모리 전체에서 실행하는 방식이었다.

2. 예약된 작업 및 DLL 사이드 로딩: 이 그룹은 예약된 작업을 사용하여 악성 DLL을 사이드 로드하는 겉보기에 정상으로 보이는 파일을 실행하여 감염된 시스템에 계속 존재하도록 하였다. 또한 로컬 관리자 계정을 조작하여 레지스트리 수정을 통해 계정을 숨기기 전에 해당 계정을 재설정하고 활성화하였다.

3. 사용자 지정 키로거 및 정보 탈취자: 언페이딩 씨 헤이즈는 네트워크에 침투한 후 다양한 툴을 배포하여 민감한 데이터를 수집했다. 여기에는 'xkeylog'와 같은 맞춤형 키로거와 크롬, 파이어폭스, 엣지와 같은 브라우저를 대상으로 하는 정보 탈취툴이 포함되었다. 또한 파워쉘 스크립트를 사용하여 데이터를 추출하고 유출했다.

4. 신종 악성코드 변종: 시간이 지남에 따라 언페이딩 씨 헤이즈는 멀웨어 무기를 개선해 왔다. 이들은 광범위한 기능과 회피 기능을 제공하는 SilentGh0st, InsidiousGh0st 및 기타 Gh0stRAT 멀웨어 제품군의 변종과 같은 더 은밀한 도구로 전환하였다.

5. 원격 모니터링 및 관리(RMM) 도구: 흥미롭게도 이 그룹은 손상된 네트워크에 대한 초기 발판을 마련하고 원격 제어를 지원하는 전술인 Itarian RMM과 같은 상용 RMM 툴을 활용하였다. 이러한 합법적인 도구의 사용은 기존 보안 시스템에 의한 탐지를 더욱 복잡하게 만들었다.

2023년 이후에도 언페이딩 씨 헤이즈는 계속 진화하고 있다. 이제 공격자들은 MSBuild 도구를 활용하여 원격 SMB 공유에서 C# 페이로드를 로드하여 파일리스 공격 기능을 강화하고 있다. TranslucentGh0st 및 EtherealGh0st와 같은 새로운 변종 배포는 이들이 동적 플러그인 로딩과 회피를 위한 더 가벼운 설치 공간에 중점을 두고 있음을 보여주었다.

이 그룹의 최신 공격을 살펴보면, 미국 정치 주제를 테마로 한 스피어 피싱 캠페인이 있다. 악성 ZIP 파일은 윈도우 디펜더 설치 프로그램/업데이터로 보이도록 속이는 이름을 사용하였다. 피싱 전술의 진화는 그들의 적응력과 지정학적 사건에 맞춰 작전을 조정하려고 하기 위함이다.

언페이딩 씨 헤이즈는 은밀하고 정교하고 끈질긴 사이버 스파이 활동을 해 오고 있다. 파일리스 멀웨어 사용, 정교한 우회 기법, 중국의 지정학적 이해관계와 연계된 공격 등으로 중국과 적대적 혹은 경쟁 국가에 상강한 위협이 되고있어 한국도 각별히 주의해야할 상황이다.  

보다 상세한 내용과 기술 분석은 언페이딩 씨 헤이즈 및 기타 국가가 후원하는 사이버 위협에 대한 비트디펜더의 종합 보고서를 참조하면 된다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★