2024년 9월 APT 그룹 동향 보고서
2024년 9월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.
1) APT41
Fortinet은 APT41 그룹이 오픈 소스 지리 정보 서버인 GeoServer 취약점 (CVE-2024-36401)을 이용해 공격을 수행하고 있다고 발표했다.[1]
CVE-2024-36401 취약점은 여러 OGC 요청 파라미터를 통해 XPath 표현식을 안전하게 평가하지 않아 발생하며, 공격자가 특수하게 조작된 입력을 통해 원격 코드를 실행할 수 있다. 이 취약점은 GeoServer 2.23.6, 2.24.4, 2.25.2 버전에서 패치되었다.
SideWalk는 주로 ARM, MIPS, X86 아키텍처를 목표로 하는 리눅스 백도어 악성코드로 ChaCha20 알고리즘을 이용하여 암호화된 구성 파일을 복호화하고 C2 통신을 설정한다. 공격자는 Fast Reverse Proxy (FRP)를 사용해 감염된 시스템과 외부 서버 사이에 암호화된 터널을 구축한다.
2) APT-C-36 (BlindEagle)
Zscaler는 APT-C-36 (BlindEagle) 그룹이 2024년 6월부터 콜롬비아의 보험 산업을 겨냥한 새로운 공격을 발견했다.[2]
공격자는 콜롬비아 세관 당국(DIAN)을 사칭한 피싱 이메일을 보냈다. 이 피싱 이메일에는 PDF 첨부 파일과 ZIP 파일을 다운로드할 수 있는 URL이 포함되어 있었다.
해당 ZIP 파일은 Google Drive의 콜롬비아 지역 정부 기관의 계정이 침해되어 호스팅된 BlotchyQuasar RAT을 포함하고 있었다.
BlotchyQuasar는 QuasarRAT의 변종으로, 키로깅, 명령 실행, 브라우저 정보 탈취 등 다양한 악성 기능을 제공한다. BlotchyQuasar는 콜롬비아와 에콰도르의 여러 은행 및 결제 서비스를 겨냥한 정보 수집 기능을 가지고 있다. 피해자가 특정 은행 및 결제 사이트에 접속할 경우, 해당 정보를 기록하고 로그 파일에 저장한다. 이 로그 파일은 XML 형식으로 저장되며, 피해자의 은행 및 결제 활동을 감시한다. 또한, BlotchyQuasar는 웹 브라우저와 FTP 클라이언트에 저장된 비밀번호와 쿠키를 탈취하는 기능을 가지고 있다.
APT-C-36 그룹은 Dynamic DNS 서비스를 통해 공격의 C2 서버를 운영하며, VPN과 해킹된 라우터를 통해 IP 주소를 숨기고 있다.
3) Earth Baxia
Trend Micro는 Earth Baxia 그룹이 GeoServer의 원격 코드 실행 취약점 (CVE-2024-36401) 악용해 대만, 필리핀, 베트남, 중국 등 APAC 지역의 정부 기관과 에너지 산업, 통신 업체를 공격하고 있다고 공개했다.[3]
공격은 주로 Alibaba Cloud 서비스를 통해 이루어졌으며, 일부 샘플은 중국에서 VirusTotal에 제출되었다. 중국에서는 이 공격과 관련된 몇 개의 Cobalt Strike 인스턴스가 확인되었으며, 이는 해당 그룹이 중국에서 운영되고 있을 가능성을 시사한다.
이들은 스피어 피싱 이메일과 GeoServer의 원격 코드 실행(RCE) 취약점을 이용하여 공격을 시작했다. 해당 취약점은 악성 구성 요소를 다운로드하거나 복사하는 방식으로 사용되었으며, 이 과정에서 curl과 scp 명령어가 활용되었다.
침해된 기기에는 변경된 내부 서명과 구성 구조를 가진 맞춤형 Cobalt Strike가 배포되었다. 새로운 백도어인 EAGLEDOOR도 발견되었으며, 이는 다양한 통신 프로토콜을 지원하며 정보 수집 및 페이로드 전달을 위한 기능을 제공한다.
피싱 이메일은 주로 AWS와 같은 퍼블릭 클라우드 서비스에서 파일을 다운로드하는 방식으로 구성되었다. 공격자들은 s3cloud-azure와 같은 클라우드 서비스를 모방한 도메인을 사용해 악성 파일을 호스팅했다. 이후 DLL 사이드 로딩을 통해 SWORDLDR라는 로더가 Cobalt Strike 쉘코드를 메모리에 주입하여 실행했다.
EAGLEDOOR는 주로 HTTP, TCP, DNS 프로토콜을 통해 C&C 서버와 통신하며, Telegram Bot API를 통해 파일 전송 및 메시지 전송 등의 기능을 수행했다. 데이터 유출 과정에서 curl 명령어가 사용되어 공격자는 파일을 외부 서버로 전송했다.
4) FamousSparrow (Salt Typhoon)
월스트리트 저널(The Wall Street Journal)은 FamousSparrow (Salt Typhoon) 그룹이 미국 내 인터넷 서비스 제공업체(ISP) 네트워크를 침투했다고 보도했다.[4]
이 공격은 특히 케이블 및 브로드 밴드 서비스 제공업체를 주요 타깃으로 삼았으며, 정보를 탈취하고 향후 공격을 위한 거점을 마련하는 것을 목표로 하고 있다. 이들의 주요 목표는 정부, 군사 계약자, Fortune 100 기업 등이다.
이를 통해 ISP 네트워크 내에서의 위치하는 고가치 표적에 대한 정찰 활동을 강화하고, 그들의 위치, 서비스 사용 정보 등을 확보할 수 있다. FamousSparrow 그룹은 단순 정보 수집을 넘어 미국의 군사 및 민간 인프라를 교란할 수 있는 공격적 능력을 설치하려는 의도가 있다고 추정된다.
5) Flax Typhoon
Black Lotus Labs은 중국 국가 지원 그룹 Flax Typhoon이 운영하는 것으로 추정되는 대규모 IoT 봇넷 Raptor Train 정보를 공개했다.[5]
이 봇넷은 주로 SOHO 및 IoT 기기를 대상으로 하며, 2020년부터 현재까지 꾸준히 확장되고 있다.
2023년 6월 기준, Raptor Train은 약 60,000대의 기기를 감염시켰으며, 현재까지 200,000개 이상의 SOHO 라우터, NVR/DVR, NAS 서버, IP 카메라가 감염되었다. 이 봇넷의 주요 기능 중 하나는 다양한 취약점과 악성코드를 이용해 대규모로 기기를 감염시키고 관리하는 것이다.
Raptor Train의 운영자는 Sparrow라는 엔터프라이즈급 C2 관리 시스템을 통해 감염된 장치를 제어한다. 이 시스템은 원격 명령 실행, 파일 업로드 및 다운로드, 취약점 관리, 대규모 DDoS 공격을 포함한 여러 기능을 제공한다. 지금까지 Raptor Train에서 DDoS 공격이 실행된 사례는 없으나, 이러한 기능은 향후 사용될 가능성이 있다. Raptor Train은 특히 미국과 대만의 군사, 정부, 통신, IT, 고등교육 기관을 대상으로 하는 공격을 감행한 것으로 보인다.
이 봇넷은 주로 중국 현지 시간에 맞춰 운영되며, 대다수의 C2 서버는 중국 및 홍콩에 위치해 있다. 감염된 장치는 평균 17일 동안 활동하며, 감염된 SOHO 및 IoT 장치는 20개 이상의 기기 유형에서 발견되었다.
Raptor Train 봇넷의 주요 악성코드는 Mirai 변종 Nosedive로, 메모리 상에서만 실행되고 감염된 기기에 명령을 전달하거나 공격을 수행한다.
Raptor Train은 2020년부터 Crossbill, Finch, Canary, Oriole의 네 가지 주요 캠페인을 통해 발전해왔다. 특히 2024년에는 미국 및 글로벌 타깃에 대한 대규모 스캔과 취약점 공격이 시도되었다.
[1] https://www.fortinet.com/blog/threat-research/threat-actors-exploit-geoserver-vulnerability-cve-2024-36401
[2] https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-insurance-sector-blotchyquasar
[3] https://www.trendmicro.com/en_us/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html
[4] https://www.wsj.com/politics/national-security/china-cyberattack-internet-providers-260bd835
[5] https://blog.centurylink.com/derailing-the-raptor-train
