LOTUSLITE Backdoor
보안 연구원들이 미국 정부 및 정책 기관을 겨냥한 정교한 악성코드 캠페인을 발견했습니다. 이 캠페인은 시의적절한 정치적 이슈를 이용하여 피해자를 유인했습니다. 공격자들은 최근 미국과 베네수엘라 간의 갈등에 관심을 갖는 사람들을 대상으로 한 스피어 피싱 메시지에 '미국, 이제 베네수엘라의 다음 행보를 결정하다.zip'이라는 제목의 ZIP 압축 파일을 삽입했습니다. 이 압축 파일을 열면 DLL 사이드 로딩 방식을 통해 LOTUSLITE라는 백도어가 설치됩니다. 이 방식은 정상적인 애플리케이션을 이용하여 악성 페이로드를 숨기고 탐지를 회피하는 수법입니다. 실제로 공격 대상이 된 사용자가 있는지는 아직 불분명합니다.
이번 공격은 중국 정부와 연계된 사이버 스파이 그룹인 머스탱 팬더(Mustang Panda)의 소행으로 추정되며, 그 근거는 상당한 확신을 갖고 있습니다. 이러한 추정은 과거 이 그룹이 사용했던 전술적 접근 방식과 인프라 흔적이 유사하다는 점에 기반합니다. 머스탱 팬더는 정치적 목적을 가진 공격으로 악명 높으며, 익스플로잇을 이용한 초기 접근보다는 사이드 로딩 방식을 선호하는 것으로 알려져 있습니다.
목차
전달 및 실행 메커니즘
이 악성 ZIP 파일에는 미끼 실행 파일과 DLL 사이드 로딩을 통해 실행되는 동적 링크 라이브러리가 포함되어 있습니다. DLL 사이드 로딩은 정상적인 프로세스가 의도치 않게 악성 라이브러리를 로드하는 안정적인 실행 흐름입니다. Mustang Panda는 TONESHELL과 같은 백도어를 유포하는 등 이전 공격에서도 이 기법을 일관되게 사용해 왔습니다.
실행되면, 삽입된 DLL 파일(kugou.dll)은 스파이 활동을 위해 설계된 맞춤형 C++ 백도어 역할을 합니다. LOTUSLITE는 Windows WinHTTP API를 이용하여 하드코딩된 명령 및 제어(C2) 서버에 연결하고, 원격 명령 실행 및 데이터 추출을 가능하게 합니다.
백도어 기능
LOTUSLITE는 원격 제어 및 정찰을 용이하게 하는 일련의 핵심 작업을 지원합니다. 이러한 작업에는 다음이 포함됩니다.
- CMD 셸을 생성하고 제어하여 원격으로 명령을 실행할 수 있습니다.
- 디렉터리 열거, 파일 생성 및 데이터 추가와 같은 파일 시스템 상호 작용
- 비콘 상태 관리는 C2와의 통신을 제어합니다.
다음은 LOTUSLITE에서 지원하는 전체 명령어 목록입니다.
- 0x0A: 원격 CMD 셸 시작
- 0x0B: 원격 셸 종료
- 0x01: 셸을 통해 명령을 전송합니다.
- 0x06: 비콘 상태 재설정
- 0x03: 파일 열거
- 0x0D: 빈 파일 생성
- 0x0E: 파일에 데이터를 추가합니다.
- 0x0F: 비콘 상태 조회
LOTUSLITE는 또한 Windows 레지스트리 설정을 변경하여 사용자가 로그인할 때마다 자동으로 실행되도록 함으로써 지속성을 보장합니다.
행동적 특성과 운영적 초점
보안 분석가들은 LOTUSLITE가 Mustang Panda가 이전에 배포했던 Claimloader와 같은 도구들과 유사한 동작을 보인다고 지적했습니다. 특히, 소셜 엔지니어링 공격을 지원하는 자극적인 메시지 문자열을 삽입한다는 점에서 유사점을 보였습니다. Claimloader 자체는 Mustang Panda가 이전 캠페인에서 PUBLOAD와 같은 다른 페이로드를 배포하는 데 사용했던 DLL 로더입니다.
이번 공격은 표적 스피어 피싱의 광범위한 추세를 보여줍니다. 고도화된 지속적 위협(APT) 그룹은 복잡한 제로데이 취약점에 의존하기보다는 사회적으로 민감한 미끼와 DLL 사이드 로딩과 같은 검증된 실행 방식을 결합하여 시스템에 접근하는 경우가 많습니다. LOTUSLITE는 고도의 회피 기능은 부족하지만, 직관적인 명령 및 제어(C&C) 기능과 안정적인 실행 흐름 덕분에 장기적인 스파이 활동에 유용한 도구입니다.
이번 캠페인은 단순하고 친숙한 기법이라도 지능적인 타겟팅과 상황에 맞는 유인책을 결합하면 특히 가치가 높은 기관 네트워크를 대상으로 할 때 효과적일 수 있음을 보여줍니다.
