하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

중국의 APT10, 멀웨어 업그레이드 통해 분석 방해
등록일 :
2018.09.17
일본 기관들 주로 노리는 중국의 단체, 멀웨어 업그레이드시켜
멀웨어 자체 개발 및 업그레이드에 능해...작년엔 14개국 공격하기도


[보안뉴스 문가용 기자] 중국의 사이버 공격 단체인 APT10이 최근 일본의 미디어 산업을 겨냥해 공격을 실시했다. 이 공격을 분석한 결과 APT10이 기존에 사용해왔던 공격의 전략과 방법에 변화가 있음을 알 수 있었다고, 보안 업체 파이어아이(FireEye)는 결론을 내렸다.

[이미지 = iclickart]


APT10은 메뉴패스(menuPass)나 스톤판다(Stone Panda)라는 이름으로도 알려져 있으며 파이어아이가 2009년부터 추적해온 그룹이다. 또한 주로 일본의 여러 조직들을 집중적으로 노려왔다. 지난 해에는 14개국을 공격하기도 했는데, 이중에는 미국의 거래 관련 대형 협회의 웹사이트도 포함됐다.

최근의 공격에서 APT10은 악성 워드 문서가 포함된 스피어피싱 공격을 펼쳤다. 어퍼컷(UPPERCUT)이라는 백도어를 심는 것이 최종적인 목표였다. 어퍼컷은 아넬(ANEL)이란 이름으로도 알려져 있는데, 파이어아이에 의하면 이번 공격에 사용된 건 미출시 버전 혹은 베타 버전인 것으로 보인다고 한다.

악성 워드 문서에는 악성 VBA 매크로가 포함되어 있으며, 정치, 외교적인 내용이나 북한과 관련된 내용을 제목에 포함시키고 있다. 그러나 문건에 실제로 포함된 내용은 이 문제들과 관련이 있지 않다. 비밀번호로 보호되고 있는데, 이 비밀번호는 이메일 본문 중에 언급되어 있다.

최근에 발견된 어퍼컷 샘플의 타임스탬프는 덮어쓰기가 된 상태이며, 숫자 0으로 가득 차 있다고 한다. 파이어아이는 어퍼컷 5.2.x 시리즈에 대한 정확한 정보를 확보하지 못했으나 2017년 12월부터 2018년 5월 사이에 소규모로 여러 버전들이 발표된 적이 있다고 설명했다.

가장 최근 버전의 어퍼컷에서는 함수 이름이 무작위로 엑스포트 되고 있었으며(새로운 기능), C&C 서버로부터 HTTP 응답을 받지 못할 경우 이에 대한 오류 메시지를 쿠키 헤더에 넣어 전송하는 것이 발견되기도 했다. 또한 고유하게 하드코딩 된 키들이 각 C&C 주소마다 할당되어 있는 것을 찾아내는 데도 성공했다.

멀웨어 활동을 통해 생성된 네트워크 트래픽의 경우, C&C와의 통신 시간 동안 암호화 된 프록시 정보가 URL 쿼리 값에 첨부된다고 한다.

이 새 버전에서 호환 가능한 명령어들은 다음과 같다.
1) 파일 다운로드 및 확인
2) C&C로 업로드
3) PE 파일 로딩
4) 파일 다운로드, 확인 후 실행
5) 결과물 C&C 서버로 전송
6) 현재 타임스탬프의 포맷
7) 데스크톱 스크린샷 캡처 후 PNG로 저장, C&C로 전송
8) cmd.exe를 통해 받은 버퍼를 실행하고 결과물을 서버로 전송

“APT10은 예나 지금이나 비슷한 지역과 산업을 공격하고 있습니다. 그러나 이들이 사용하는 멀웨어는 계속해서 업그레이드 되고 있습니다. 이번에 발견된 어퍼컷은 블로우피시(Blowfish)라는 암호화 키를 발동시키는 데 있어 이전 버전과 큰 차이를 보이고 있습니다. 결과적으로 분석가들이 탐지하거나 분석하는 걸 방해하기 위함입니다. 또한 이 멀웨어를 통한 통신을 분석하는 것도 굉장히 힘들어졌습니다.”

그러면서 파이어아이는 “APT10이 멀웨어를 유지하고 업그레이드 하는 것에 있어 얼마나 능숙한 단체인지가 드러나고 있다”고 경고했다.

3줄 요약
1. APT10, 예전부터 일본을 주로 공격해오던 중국의 공격 단체.
2. 최근 이들이 감행한 공격을 분석했더니, 업그레이드 된 멀웨어 나옴.
3. 여러 기능 추가되고 암호화 기능 새로워져 분석하기 힘들어짐.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top