중국의 APT 그룹 나이콘, 5년 간 들키지 않고 염탐 활동 해와

입력 : 2020-05-08 16:57

나이콘, 카스퍼스키가 2015년 처음 발견하고 그 동안 모습 드러내지 않아
하지만 아태지역 정부 기관들에 대한 공격은 이어지고 있어...앞으로도 그럴 듯

[보안뉴스 문가용 기자] 중국의 APT 그룹인 나이콘(Naikon)이 5년 동안 들키지 않고 은밀한 사이버 공격 행위를 하다가 드디어 꼬리를 밟혔다. 2015년 보안 업체 카스퍼스키(Kaspersky)가 처음 발견한 이 단체는 동남아시아 지역의 고위 정부 요원들을 주로 염탐하는 것으로 알려져 있다. 특히 남중국해 문제와 관련된 자들이 주요 공격 표적이었다.


2015년 이후 나이콘은 모습을 드러내지 않았다. 그래서 최근까지 나이콘의 새로운 활동이 보고된 사례가 없다. 그러나 모습을 드러내지 않았다고 가만히 있었던 것은 아니었다. 자신들의 공격 기술력을 높이고 새로운 백도어를 마련하는 등 다시 한 번 활동하기 위한 준비를 해왔음이 틀림없는 정황이 드러났다. 특히 아리아바디(Aria-body)라는 새 백도어가 눈에 띈다.

나이콘은 2019년과 2020년 1사분기 사이에 활동량을 대폭 늘린 것으로 나타났다. 표적은 여전히 아태지역의 국가 기관들과 단체들인데, 호주, 인도네시아, 필리핀, 베트남, 태국, 미얀마, 브루나이가 가장 많은 피해를 입었다. 공격 목표는 지정학적 정보와 외교 첩보를 모으는 것이었다. 그렇기 때문에 외무부, 과학기술부, 공공 기업들에서 나이콘의 침투 흔적이 주로 발견되고 있다.

최근 5년 간 숨어왔던 나이콘의 정체를 드러낸 보안 업체 체크포인트(Check Point)는 “외국 정부 기관인 것처럼 가장하여 우리 고객사 중 한 곳을 공격하려고 했고, 이를 추적하여 그 동안 잠자코 있었던 나이콘이 배후에 있음을 알게 됐다”고 설명한다. “나이콘이라는 결론에 도달한 이후 추적을 더 하기로 회사 차원에서 결정했습니다.” 위협 첩보 책임자인 로템 핑켈스틴(Lotem Finkelsteen)이 보고서를 통해 설명했다.

체크포인트가 제일 먼저 주목한 건 아리아바디라는 RAT였다. 공격자들은 여러 감염 경로를 통해 아리아바디를 배포하고 있었는데, 제일 먼저 발견한 건 아태지역의 한 대사관에서 보낸 것처럼 위장된 악성 메일이었다. 수신인은 호주 정부였다. 이 이메일에는 ‘The Indians Way.doc’라는 파일이 하나 첨부되어 있었다. 분석해 보니 .doc라는 이름이 붙어있긴 했지만 사실은 RTF문서로, 로얄로드(RoyalRoad)라는 익스플로잇 빌더가 탑재된 악성 문건이었다.

로얄로드는 중국 해커들이 자주 사용하는 도구로, 마이크로소프트 워드의 공식 편집기(Equation Editor)에서 발견된 취약점들을 익스플로잇 하는 기능을 가지고 있다. 이 캠페인에서 로얄로드는 또 다른 로더인 intel.wll을 피해자의 시스템(워드의 스타트업 폴더)에 드롭시키는 기능을 수행했다. intel.wll은 최종 페이로드를 다운로드 받는다.

그 외에도 다른 이메일 공격이 발견됐다. 이번에는 이메일에 압축파일이 첨부되어 있었다. 파일 내에는 정상적인 실행파일이 들어 있었는데, 악성 DLL 파일 하나가 같이 있었다. 공격자들은 DLL 하이재킹 기법을 사용해 이 악성 DLL을 시스템에서 로딩시켰다. 그 후로는 비슷한 과정을 거쳐 최종 페이로드가 설치됐다. 어떤 경우는 실행파일을 통해 곧바로 페이로드를 설치한 사례도 있었다.

여러 감염 방법이 사용되었지만 결국 마지막에는 아리아바디의 페이로드가 심겼다. 아리아바디는 2018년에 처음 발견된 RAT로, 나이콘과 관련된 적은 없다. 파일 생성과 삭제, 스크린샷 캡처, 파일 검색 등 여러 가지 기능을 내포하고 있는 전형적 RAT로 분류된다. 게다가 2018년 이후 여러 가지 모듈이 추가돼 현재 버전은 USB 데이터 수집, 키로거, SOCKS 프록시 등의 기능까지도 가지고 있다.

하지만 공격자에게 있어 아리아바디가 가지고 있는 최고의 가치는 공격자들이 감염된 시스템에 원격에서 접근할 수 있게 해준다는 것이다. 또한 피해자의 인프라와 서버들을 공격에 활용하도록 만들어준다는 것도 중요하다. 체크포인트는 바로 이점(피해자의 인프라와 서버를 공격에 활용한다는 점) 때문에 지난 5년 동안 탐지를 피할 수 있었던 것으로 분석하고 있다.

“나이콘의 가장 주된 공격 방법은 정부 기관을 침투하고, 거기서부터 추가 공격 인프라를 구성해 다른 곳을 공격하는 겁니다. 추가 공격 인프라란, 최초 피해자의 연락처, 문건, 각종 데이터까지도 포함하는 말입니다. 이런 인프라 구성을 통해 같은 기관 내나 파트너 조직들 간의 신뢰를 구축한 상태에서 공격을 실시합니다.” 체크포인트가 보고서를 통해 설명한 내용이다.

앞으로도 체크포인트는 이러한 활동을 이어갈 것으로 보이며, 따라서 아태지역의 국가들은 나이콘에 대하여 꾸준한 경계 태세를 유지해야 할 것으로 여겨진다고 체크포인트는 권장했다. “그러나 나이콘은 계속해서 공격 방법과 도구들을 업그레이드 시키고 바꿉니다. 변종들을 만들어내고, 파일레스 공격도 할 줄 알며, 피해자를 공격에 활용하기도 합니다. 평범한 방법으로는 탐지가 되지 않을 것입니다.”

로얄로드에 대한 세부 내용은 여기(https://nao-sec.org/2020/01/an-overhead-view-of-the-royal-road.html)서 열람이 가능하고, 체크포인트의 보고서 전문은 여기(https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/)서 열람이 가능하다.

3줄 요약
1. 동남아시아 정찰하던 중국의 APT 팀 사이콘, 5년 만에 발견됨.
2. 2015년 카스퍼스키에 발각된 이후, 2020년까지 한 번도 들키지 않음.
3. 아태지역에 대한 정보 수집 활동 계속해오면서 새로운 무기도 개발했음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...