MgBot 백도어

중국과 연계된 정교한 고도 지속적 위협(APT) 작전이 장기간에 걸친 사이버 스파이 활동의 일환으로 밝혀졌으며, 이 작전은 도메인 이름 시스템(DNS) 인프라를 악용하여 MgBot 백도어를 유포했습니다. 이 작전은 터키, 중국, 인도의 특정 지역을 집중적으로 공격했으며, 2022년 11월부터 2024년 11월까지 활동했습니다.

작전의 배후에 있는 적

해당 활동은 Evasive Panda라는 이름으로 널리 알려진 위협 행위자와 연관되어 있으며, Bronze Highland, Daggerfly, StormBamboo 등의 이름으로도 추적되고 있습니다. 이 그룹은 적어도 2012년부터 활동해 온 것으로 평가되며, 광범위하고 기회주의적인 공격보다는 고도로 표적화된 침입을 하는 것으로 알려져 있습니다.

핵심 전술로서의 중간자 전략

이번 공격 캠페인의 핵심은 중간자 공격(AitM) 기법을 활용하는 것이었습니다. 공격자들은 DNS 응답을 조작하여 피해자들이 자신들이 통제하는 인프라로 은밀하게 리디렉션되도록 했습니다. 악성코드 로더는 특정 파일 위치에 배치되었고, 암호화된 구성 요소는 공격자가 제어하는 서버에 호스팅되어 합법적인 웹사이트와 연결된 특정 DNS 쿼리에 대한 응답으로만 전달되었습니다.

DNS 포이즈닝 악용 패턴

이번 공격은 단발적인 사건이 아닙니다. Evasive Panda는 DNS 스푸핑에 대한 전문성을 여러 차례 입증해 왔습니다. 앞서 진행된 조사에서는 2023년 4월에도 유사한 전술을 사용한 사례가 지적되었는데, 당시 이 그룹은 공급망 침해 또는 AitM 공격을 이용하여 중국 본토의 한 국제 NGO를 대상으로 Tencent QQ와 같은 신뢰할 수 있는 소프트웨어의 트로이목마 버전을 배포한 것으로 추정됩니다.

2024년 8월, 추가 보도에 따르면 해당 그룹은 익명의 인터넷 서비스 제공업체(ISP)를 해킹하여 악성 DNS 응답을 악용해 특정 대상에게 악성 소프트웨어 업데이트를 배포한 것으로 드러났습니다.

중국과 연계된 AitM 행위자들의 더 넓은 생태계

Evasive Panda는 AitM 기반의 DNS 스푸핑을 통해 네트워크 내에서 악성코드를 유포하고 확산시키는 중국 연계 위협 그룹의 일부입니다. 분석가들은 유사한 접근 방식을 사용하는 활동적인 그룹이 최소 10개 이상 확인되었으며, 이는 DNS 조작이 이러한 생태계에서 선호되는 기술이 되었음을 보여줍니다.

무기화된 소프트웨어 업데이트를 미끼로 사용

보고된 침입 사례에서 피해자들은 합법적인 타사 소프트웨어로 위장한 가짜 업데이트에 속았습니다. 특히 눈에 띄는 수법은 중국 기술 기업 소후(Sohu)의 비디오 스트리밍 애플리케이션인 소후바(SohuVA)의 업데이트인 것처럼 위장한 것이었습니다. 해당 업데이트는 합법적인 도메인인 p2p.hd.sohu.com[.]cn에서 발송된 것처럼 보였는데, 이는 DNS 스푸핑을 통해 트래픽을 악성 서버로 리디렉션하는 동시에 애플리케이션이 appdata\roaming\shapp\7.0.18.0\package 경로에 있는 바이너리 파일을 업데이트하려 시도했음을 강력하게 시사합니다.

연구원들은 또한 바이두의 iQIYI 비디오, IObit Smart Defrag 및 텐센트 QQ에 대한 가짜 업데이트 프로그램을 악용하는 유사한 캠페인을 관찰했습니다.

신뢰 도메인을 통한 다단계 페이로드 전달

가짜 업데이트가 성공적으로 실행되면서 초기 로더가 배포되었고, 이 로더는 셸코드를 실행했습니다. 이 셸코드는 이번에도 DNS 포이즈닝을 통해 PNG 이미지로 위장한 암호화된 2단계 페이로드를 획득했는데, 이번에는 합법적인 도메인인 dictionary.com을 악용했습니다.

공격자들은 DNS 해석을 조작하여 dictionary.com이 공격자들이 제어하는 IP 주소로 연결되도록 했으며, 이 IP 주소는 피해자의 지리적 위치와 ISP에 따라 선택적으로 지정되었습니다. 이 악성코드를 가져오는 데 사용된 HTTP 요청에는 피해자의 Windows 버전이 포함되어 있어 공격자들이 특정 운영 체제 빌드에 맞춰 후속 조치를 취할 수 있었을 것으로 추정됩니다. 이러한 선택적 타겟팅은 MACMA로 알려진 macOS 악성코드를 배포하는 등 이전에 사용했던 워터링 홀 공격과 유사합니다.

DNS 포이즈닝이 어떻게 이루어졌을 가능성이 있을까요?

DNS 응답을 조작하는 데 사용된 정확한 방법은 아직 확인되지 않았지만, 조사관들은 두 가지 주요 가능성을 의심하고 있습니다.

• 피해 ISP를 선택적으로 공격하는 행위로, DNS 트래픽을 조작하기 위해 엣지 디바이스에 네트워크 임플란트를 설치하는 것이 포함될 수 있습니다.
• 피해자 환경 내 라우터 또는 방화벽을 직접 침해하여 DNS 응답을 로컬에서 변경합니다.

정교한 로더 체인 및 맞춤형 암호화

2단계 악성코드 전달 과정은 의도적으로 복잡하게 설계되었습니다. 초기 셸코드는 피해자별 페이로드를 복호화하고 실행하는데, 이는 각 대상마다 고유한 암호화 파일을 생성하여 탐지를 어렵게 하려는 의도로 추정됩니다.

libpython2.4.dll로 위장한 보조 로더는 이름이 변경된 구형 python.exe 파일을 사이드로드하는 방식을 사용합니다. 실행되면 C:\ProgramData\Microsoft\eHome\perf.dat 파일에서 다음 단계 페이로드를 읽어 복호화합니다. 이 파일에는 XOR 암호화, 복호화, 그리고 Microsoft의 데이터 보호 API(DPAPI)와 RC5 알고리즘을 결합한 맞춤형 암호화 방식을 사용하여 다시 암호화된 악성코드가 포함되어 있습니다. 이러한 설계 덕분에 페이로드는 원래 피해자 시스템에서만 복호화할 수 있어, 악성코드 차단 및 오프라인 분석이 매우 어려워집니다.

MgBot: 은밀하고 유능한 임플란트

암호 해독 후, 페이로드는 정상적인 svchost.exe 프로세스에 주입되어 MgBot 백도어의 변종임을 드러냅니다. 이 모듈형 임플란트는 다음과 같은 다양한 스파이 기능을 지원합니다.

• 파일 수집 및 유출
• 키 입력 로깅 및 클립보드 정보 수집
• 오디오 녹음
• 브라우저에 저장된 자격 증명 도난

이러한 기능 덕분에 공격자는 침해된 시스템에 장기간 은밀하게 접근할 수 있습니다.

진화하고 지속되는 위협

이번 캠페인은 Evasive Panda 그룹의 지속적인 진화와 기술적 정교함을 보여줍니다. DNS 스푸핑, 신뢰할 수 있는 브랜드 사칭, 다중 계층 로더, 시스템 기반 암호화 등을 결합하여, 이 그룹은 방어 체계를 회피하면서 고가치 목표물에 지속적으로 접근할 수 있는 능력을 명확히 입증했습니다. 이번 작전은 더욱 강력한 DNS 보안, 공급망 검증, 그리고 민감한 환경에서의 업데이트 메커니즘 모니터링의 필요성을 강조합니다.