Home > 전체기사

새로운 중국 APT 단체, 건물 자동화 시스템 통해 공격 실시

  |  입력 : 2022-06-30 13:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
건물 자동화 시스템에 대한 경보가 발령됐다. BAS를 통해 공격을 실시하는 공격 단체가 발견됐기 때문이다. BAS가 공격당하면 건물 전체가 마비될 수 있다. 그러나 아직 공격자들은 이 BAS 자체를 노리는 것으로 보이지는 않는다.

[보안뉴스 문가용 기자] 현재까지 한 번도 발견된 적 없던 중국 APT 단체가 새롭게 모습을 드러냈다. 이들은 마이크로소프트 익스체인지(Microsoft Exchange)의 프록시로그온(ProxyLogon) 취약점을 익스플로잇 하고 있으며, 이를 통해 셰도우패드(ShadowPad)라는 백도어 멀웨어를 심고 있다고 한다. 특히 건물 자동화 시스템(BAS)를 장악함으로써 네트워크의 더 깊은 부분에까지 도달하는 것이 눈에 띈다.

[이미지 = utoimage]


새 단체의 움직임을 제일 먼저 포착한 건 보안 업체 카스퍼스키(Kaspersky)다. 카스퍼스키는 이 APT 단체가 아프가니스탄과 파키스탄의 ICS 시스템과 통신사들과, 말레이시아의 물류 및 운송 회사 하나를 침해하는 데 성공했다고 밝혔다. 처음 발견된 건 10월이었는데, 이들의 활동이 시작된 건 최소 3월부터일 가능성이 높다고 한다. “현재까지 발견된 피해자들은 빙산의 일각일 수 있습니다. 계속해서 이들의 활동을 모니터링하며 피해자들을 찾아내려고 합니다.”

카스퍼스키가 집중하고 있는 건 이 공격자들의 고유한 전략과 기술이다. “이들은 BAS 엔지니어링 컴퓨터를 최초의 침투 지점으로서 활용합니다. APT 단체들 중 이러한 움직임을 보인 사례는 찾기가 힘듭니다. BAS 시스템에 대한 공격 자체가 새로운 것은 아닙니다만, APT가 이를 최초 침투 경로로서 활용한 건 처음 보는 일입니다.” 카스퍼스키의 보안 전문가 키릴 크루글로프(Kirill Kruglov)의 설명이다.

BAS는 건물 자동화 솔루션이기 때문에, 공격자들이 여기에 침투하는 데 성공할 경우 물리적 피해를 일으킬 수 있다고 카스퍼스키는 경고한다. “전기, 조명, 환기, 화재 경보, 보안 카메라 등이 모두 BAS 플랫폼에 포함되어 있죠. 그리고 BAS가 침해되면 이런 모든 구성 요소들이 침해된다고 보면 됩니다.” 작년 12월 한 BAS 전문 업체가 공격을 당해 건물의 조명, 각종 센서, 잠금 장치 등을 전혀 제어할 수 없는 일이 발생하기도 했었다.

프록시로그온 취약점과 셰도우패드 멀웨어
카스퍼스키에 의하면 이번 캠페인에서 프록시로그온 취약점이 적극적으로 익스플로잇 되었다고 한다. 프로시로그온 취약점은 MS 익스체인지(MS Exchange)에서 발견된 CVE-2021-26855이며, 일종의 원격 코드 실행 취약점으로 분류되고 있다. 이 취약점을 익스플로잇 하는 데 성공할 경우 공격자들이 서버 인증 단계를 통과하여 웹셸을 심어 원격에서 서버를 제어할 수 있게 된다고 알려져 있다. 작년 3월 중국 정부 기관의 지원을 받는 해킹 단체가 제로데이 공격을 실시하는 상황에서 처음 발견됐다. 당시 해커 조직의 이름은 하프늄(Hafnium)이었다.

이번 캠페인에서도 해킹 단체는 비슷한 수법으로 프록시로그온을 익스플로잇 하고 있다. 다만 하프늄과 달리 셰도우패드(ShadowPad)라는 백도어를 심는다. 셰도우패드는 중국 APT 단체들 사이에서 인기가 꽤 높은 원격 접근 트로이목마다. 보안 업체 시큐어웍스(Secureworks)가 과거 셰도우패드에 대해 “고차원적이고 모듈 구성을 한 백도어”라고 묘사한 바 있으며, “브론즈 아틀라스(Bronze Atlas)라는 위협 단체가 2017년에 활용했고, 그 후 점점 더 많은 중국 해커들이 이를 활용하는 중”이라고 밝혔다.

카스퍼스키가 분석한 바에 따르면 이번 캠페인에서 공격자들은 셰도우패드를 정상적인 소프트웨어로 포장해 피해자들의 컴퓨터에 심고 있다고 한다. 특히 MS의 라이브러리 파일 중 하나인 mscoree.dll 파일로 둔갑해 있는 경우가 많다. 이 파일은 닷넷 프레임워크(.NET Framework)와 관련이 있다.

“피해자가 가짜 mscoree.dll 파일을 다운로드 되면 AppLaunch.exe 애플리케이션을 통해 실행됩니다. 그러면 윈도 임무 스케줄러(Task Scheduler)에 임무 하나가 등록되죠. 그러면서 공격의 지속성까지 확보되는 겁니다. 컴퓨터가 켜지면 스케줄러 때문에 셰도우패드가 자동으로 실행됩니다. 즉 공격자들은 MS 익스체인지의 취약점을 익스플로잇 한 이후에는 정상적인 윈도 유틸리티들을 활용하여 악성 행위를 실시하는 것으로 볼 수 있습니다. ‘리빙 오프 더 랜드(living-off-the-land)’ 전략인 것이죠. 이럴 경우 탐지가 제대로 되지 않을 수 있습니다.”

최초 침투 이후 공격자들은 셰도우패드에 여러 가지 명령어를 전송할 수 있다. 카스퍼스키가 분석한 바에 따르면 처음에는 수동으로 조금씩 명령어를 보내다가 어느 정도 시간이 지나면 자동으로 추가 도구들을 전송한다고 한다. 공격자들이 추가 전송하는 도구들은 다음과 같다.
1) 코발트스트라이크(Cobalt Strike) : 횡적 움직임을 활성화하기 위해
2) 미미캐츠(Mimikatz) : 크리덴셜 탈취를 위해
3) 플러그엑스(PlugX)
4) BAT 파일들 : 크리덴셜 탈취를 위해
5) 웹셸들 : 원격에서 웹 서버에 접근하기 위해
6) 넥스트넷(Nextnet) : 네트워크 호스트 스캔을 위해

여기까지 보면 공격자들의 현재까지 활동 경위를 다음과 같지 정리할 수 있다. “BAS 시스템의 MS 익스체인지를 통해 침투한 공격자들은 셰도우패드를 통해 공격 지속성을 확보하고, 지속된 공격으로 크리덴셜을 훔쳐서 네트워크 내부를 횡적으로 움직이려고 합니다.” 다만 아직까지 이들의 궁극적인 목적까지 알기는 힘든 상황이다.

카스퍼스키는 이들의 활동 중 BAS가 중요한 수문장 역할을 하므로 BAS 보안을 강화하면 어느 정도 피해를 막을 수 있다고 권고한다. “BAS와 관련된 OS나 소프트웨어를 주기적으로 업데이트 하고, 점검과 모니터링 역시 자주하는 편이 좋습니다. BAS 트래픽을 실시간으로 감시하고, 이상 징후 탐지 솔루션을 도입하는 것도 좋은 방안입니다.”

3줄 요약
1. 처음 발견된 중국 APT의 활동 내용이 공개됨.
2. 이들은 건물 자동화 시스템을 통해 네트워크 내부로 침투한다는 특이한 전략을 구사함.
3. 침투 후에는 각종 도구와 전략을 통해 횡적으로 움직임. 하지만 최종 목적은 알 수 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)