중국에서 활동 중인 미국 기업, 중국 해킹 조직의 감시와 침해에 노출돼

중국 해킹 조직이 한 미국 대형 기업을 최소 4개월 이상 염탐하면서 이메일 정보를 빼돌렸다고 한다. 아직 피해 상황이 정확히 공개되지는 않고 있지만, 기업에 있어서는 적잖은 손실이 있었을 것으로 추정된다.

[보안뉴스 문가용 기자] 중국의 해킹 그룹이 미국의 대형 조직 하나를 공격해 왔다는 사실이 새롭게 드러났다. 이 대형 조직은 중국 시장에 상당한 규모로 진출해 있는 회사로, 공격자들은 이 회사의 네트워크에 지속적으로 접근할 수 있는 권한을 확보하고 있었으며, 주로 정보를 취득하려는 목적으로 공격을 감행한 것으로 분석되고 있다. 공격에 사용됐던 도구들 중 일부가 과거 중국 해커들의 그것과 일치하기 때문에 중국 해커의 소행으로 강력히 의심되고 있다.

[이미지 = gettyimagesbank]

침해 공격이 시작된 시점은 명확하지 않다. 하지만 공격의 흔적이 처음 확인된 시점은 2024년 4월이며, 이 활동은 8월까지 지속된 것으로 분석됐다. 공격자들은 피해자의 네트워크에서 횡적으로 움직이며 여러 컴퓨터에 침투했고, 이를 통해 이메일 시스템을 집요하게 노렸다. 익스체인지 서버가 이들의 주요 표적 중 하나인 것으로 나타났다. 해당 기업의 이메일을 통해 중요 정보를 가져가려 한 것이 이들의 의도인 것으로 보인다.

어떤 도구를 어떤 전략으로 활용했나
공격자들의 전략 중 특히 눈에 띄는 건 DLL 사이드로딩(DLL Sideloading)이다. 합법적인 프로그램을 실행하면서 동시에 악성 DLL을 로딩하는 수법으로, 이번 캠페인에서는 구글과 애플의 애플리케이션들이 주로 악용됐다. GoogleToolbarNotifier.exe라든가 iTunesHelper.exe와 같은 애플리케이션들이 주요 예시가 될 수 있다.

임패킷(Impacket)이라는 도구도 주요하게 사용됐다. “임패킷은 파이선으로 작성된 오픈소스 모듈로, 네트워크 프로토콜 조작 및 실행 기능을 가지고 있습니다. 원격 서비스 실행, 윈도 크리덴셜 덤핑, 패킷 스니핑, 릴레이 공격 등에 사용된 전적을 가지고 있습니다.” 이 캠페인의 전모를 분석해 공개한 보안 업체 시만텍(Symantec)의 설명이다.

공격자들은 파일질라(FileZilla)도 자신들의 목적을 달성하는 데 사용했다. “파일질라는 윈도, 리눅스, 맥OS 환경에서 사용할 수 있는 오픈소스 FTP 클라이언트 및 서버이죠. 합법적인 프로그램을 공격자가 악의적으로 활용한 것입니다. SCP 클라이언트인 PSCP 역시 공격에 활용됐습니다. 그 외에도 공격자들은 LOTL 기법을 즐겨 사용하기도 했습니다. 즉, 피해자의 시스템에 이미 설치된 합법적 도구들을 자신들의 목적에 맞게 사용했다는 것입니다. 특히 WMI, PsExec, 파워셸이 선호된 것으로 분석됐습니다.”

처음 공격
공격자들은 2024년 4월 11일, 한 컴퓨터에서 WMI를 통해 악성 명령을 실행했다. 이 명령을 실행하는 데에 이르기까지 어떤 방법으로 최초 침투를 이뤄냈는지는 아직 불분명하다. “이 명령을 통해 같은 네트워크에 연결되어 있는 다른 컴퓨터에 설치되어 있는 임패킷을 발동시켰습니다. 그 말은 공격자들이 이 수상한 움직임을 보이기 이전부터 하나 이상의 컴퓨터를 침해하는 데 성공했다는 것을 뜻합니다. 4월 11일 이전부터 침투가 있었다는 뜻이죠.”

이후 공격자들은 net use라는 명령을 사용해 네트워크 공유 드라이브에 접속하려 했고, 이어서 레지스트리에서 크리덴셜을 덤핑하기 위한 공격을 시도했다. 수분이 지나고 공격자들은 다시 한 번 NAS 장비와 연결된 드라이브를 마운트시키기 위해 다시 한 번 net use 명령을 활용했다. 또, 네트워크의 모든 활성 및 수신 대기 상태의 TCP 연결을 확인하기 위해 netstat 명령을 실행했다. “즉 공격자들은 조직 내부 네트워크를 샅샅이 뒤졌다는 뜻이 됩니다. 적잖은 데이터를 수집하고 빼돌린 것으로 추정됩니다.”

파워셸의 경우 공격자들은 “액티브 디렉토리에서 SPN과 연결된 세부 정보를 추출한 다음 해당 SPN에 대한 보안 토큰을 생성했다”고 한다. “서비스 계정의 크리덴셜을 가져간 뒤, 이를 오프라인에서 크랙하려는 것으로 추정됩니다. 여기에 성공함으로써 권한이 높은 계정에 접근하고, 거기서부터 네트워크 내에서 횡적 이동을 하려고 했던 것이죠. 공격자들은 이 과정에서도 현존하는 정상 도구를 활용했습니다.”

그런 다음 4월 16일 공격자들은 WMI를 통해 명령 프롬프트를 실행하며 악성 활동을 다시 한 번 시작했다. 이 때 구글의 애플리케이션인 GoogleToolbarNotifier를 악용했다. “정상적인 구글 애플리케이션의 이름만 바꿔서 실행했습니다. 바뀐 이름은 rc.exe였고, 이를 실행하면 악성 DLL이 로딩되었습니다. DLL 사이드로딩 기법을, 구글 앱을 통해 실행한 것입니다.”

두 번째 공격
거기까지 공격을 성공시킨 공격자들은 갑자기 조용해졌다. 그러더니 6월 2일 다시 나타나 피해자 조직 내 또 다른 컴퓨터(두 번째 컴퓨터)를 공격하기 시작했다. “공격자들은 역시 이번에도 WMI를 통해 움직였습니다. 디렉토리를 변경하는 명령을 실행했는데, 이 때에도 임패킷이 활용됐습니다. 그 후 공격자들은 putty.exe라는 파일을 실행했습니다. 파일질라의 환경 설정 관련 파일로, 이를 통해 데이터를 탈취하려 했던 것으로 보입니다.”

그리고 6월 13일, 동일한 파일이 WMI를 통해 여러 번 실행됐고, 다음 날인 14일에는 파워셸을 사용해 원격 호스트에서 두 가지 파일을 다운로드 한 흔적이 발견됐다. “하나는 rar.exe였는데, 윈라(WinRAR)의 명령줄 버전이 가능성이 높습니다. 다른 하나는 vmtools.exe였는데, PSCP 클라이언트를 이름만 바꾼 것으로 분석됐습니다.”

다시 한 동안 잠잠했던 공격자들은 6월 27일 PsExec를 통해 여러 명령어를 실행하며 갑자기 악성 활동을 재개했다고 한다. “이 과정에서 또 다른 구글 도구인 GoogleUpdate.exe가 실행됐고, 그 과정에서 하나의 dll 파일과 하나의 dat 파일이 피해자의 시스템에 심겨진 것으로 보입니다. 이 공격이 일어난 컴퓨터에서 두 가지 수상한 파일(dll, dat)이 발견됐습니다. 그 중 dat 파일은 중국 크림슨팰러스(Crimson Palace)라는 해킹 조직이 과거 동남아 단체들을 공격할 때 사용된 적이 있는 것이었습니다.”

세 번째 공격
두 번째 공격이 진행됐을 때, 세 번째 컴퓨터도 똑같이 이들에게 공략당하고 있었던 것으로 밝혀졌다. 이 세 번째 컴퓨터에서도 WMI를 사용해 윈도 이벤트 로그를 원격으로 호출하는 명령이 실행됐었다. “로그인, 특별 권한, 로그오프, 특별 서비스 호출 여부, 계정 잠금 등의 이벤트를 공격자들이 열람한 것으로 보입니다. 그 후 공격자들은 WMI를 통해 파워셸 스크립트를 실행했습니다. 네트워크 내 다른 컴퓨터와 연결이 가능한지, 특히 MS RPC 서비스가 활성화 되어 있는지를 알아보는 스크립트였습니다. 공격자들은 실행 결과에 따라 연결을 시도하기도 했습니다. 피해자 네트워크를 꼼꼼하게 조사했다는 걸 보여줍니다.”

그리고 이 세 번째 시스템에서 공격자들이 다시 활동을 시작한 건 6월 20일이었다. “이 때는 6월 20일에 다시 나타나 PsExec를 사용하여 네트워크 내 다른 컴퓨터에서 명령 프롬프트를 실행했습니다. 그 후 여러 net 명령이 실행됐습니다. 그러면서 익스체인지 서버들의 정보를 조회했습니다. 원래 특정 도메인 그룹을 공격하는 방식인데 이 캠페인에서 공격자들은 익스체인지 서버만 공략했습니다. 이들이 애초에 노리던 게 익스체인지 서버라는 걸 알 수 있습니다.”

같은 날 파워셸 명령도 실행됐다. 액티브 디렉토리에서 활성화 된 컴퓨터들을 조회한 뒤 이름, DNS 호스트 이름, 운영 체제, 마지막 로그인 날짜를 포함한 정보를 추출하여 computer.txt라는 파일에 저장하기 위함이었다. “이 과정을 마친 공격자들은 quser 명령을 통해 컴퓨터에 로그인된 모든 사용자 계정을 목록으로 만들기도 했습니다. 다음 날인 6월 21일, 공격자들은 이 컴퓨터를 사용해 네트워크 내 다른 컴퓨터에서 명령 프롬프트를 실행하며 공격을 이어갔습니다.”

네 번째와 다섯 번째 공격
네 번째 시스템도 비슷한 시기에 공격자들에게 침해됐다. 정확히 말하면 6월 5일부터 시작됐다. “6월 5일, 네 번째 컴퓨터에서 WMI를 통해 수상한 명령이 실행됐습니다. 레지스트리 키 값을 .tmp 파일로 내보내는 명령이었습니다. 공격자들은 이 데이터를 통해 적절한 레지스트리 이름을 파악하려 한 것으로 보입니다. 합법적으로 보이는 레지스트리 이름을 따다가 악성 DLL을 로딩하는 데 활용하려 했던 것이죠. 이는 일반적인 공격 기법 중 하나입니다.”

그리고 6월 13일, 공격자들은 다섯 번째 컴퓨터를 공격했다. WMI를 통해 디렉토리를 루트 드라이브로 변경하는 명령이 실행됐다. “그런 후 공격자들은 PerfLogs 디렉토리에서 iTuneshelper.exe라는 애플 애플리케이션을 실행하려 했습니다. 하지만 진짜 목적은 악성 DLL을 사이드로딩 하는 것이었죠. 여기서 활용된 악성 DLL은 Corefoundation.dll이며, 이 DLL은 과거 악성 캠페인에서도 발견된 바 있습니다.”

왜 중국을 의심하는가?
이런 연쇄적인 공격의 흔적을 분석하면서 시만텍은 여러 증거를 확보할 수 있었다고 한다. “그런데 그 증거들이 거의 전부 중국 해커들을 가리킵니다. DLL 사이드로딩의 경우, 중국 해커들이 매우 선호하는 기법으로 알려져 있습니다. 물론 다른 나라 해커들도 가끔씩 사용하지만 중국 해커들이 특히 많이 활용하려는 경향을 보입니다.”

또 이번 사건의 피해자로 지목된 미국 기업의 경우, 과거에도 중국 대거플라이(Daggerfly)의 공격을 받은 경험을 가지고 있다. 위에서도 언급했지만 과거 중국 해커들이 동남아 조직들을 공략하는 데 사용했던 크림슨팰러스가 발견된 것도 꽤나 중요한 일이라고 시만텍은 설명한다. “심지어 그 때도 크림슨팰러스가 rc.exe라는 이름의 파일과 함께 사용됐습니다. 이번에도 동일합니다.”

최근 미국은 중국발 해킹 그룹의 공격에 적잖이 시달리는 중이다. 특히 설트타이푼(Salt Typhoon)이라는 해킹 조직이 미국의 주요 통신망을 침해한 것이 드러나면서 FBI와 같은 수사 기관이 대국민 권고문을 통해 “문자 메시지나 채팅 앱의 사용을 자제하라”고 발표하기까지 했을 정도였다. 이와 관련하여 트럼프 정권이 어떤 조치를 취할지에 관심이 쏠리고 있다.

3줄 요약
1. 중국 시장에 진출한 한 미국 대형 기업, 4개월 넘게 감시당함.
2. 침해와 감시를 통해 이메일 정보를 빼간 건 중국 해킹 그룹으로 의심됨.
3. DLL 사이드로딩과 LOTL 전략이 돋보이는 캠페인.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)