붉은 멘션 첩보 작전

중국과 연계된 위협 행위자가 지속적이고 고도의 전략을 펼치는 사이버 스파이 활동이 통신망에 성공적으로 침투했습니다. 주요 목표는 통신 환경을 관문으로 활용하여 정부 관련 기반 시설을 감시하고 침투하는 것입니다.

이 장기간 지속된 공격은 레드 멘션(Red Menshen)이라는 위협 집단의 소행으로, 어스 블루크로우(Earth Bluecrow), 디시시브아키텍트(DecisiveArchitect), 레드 데브 18(Red Dev 18) 등의 가명으로도 추적되고 있습니다. 이 그룹은 적어도 2021년부터 중동과 아시아 전역의 통신 사업자를 지속적으로 공격하여 핵심 시스템에 깊숙이 뿌리내린 은밀한 접근 권한을 확보해 왔습니다.

디지털 잠복 세포: 고급 지속성 기술

보안 연구원들은 이번 공격에 사용된 접근 메커니즘이 통신 네트워크에서 관찰된 것 중 가장 은밀한 방식 중 하나라고 평가했습니다. 이러한 기술은 마치 디지털 잠복조처럼 작동하여 활성화될 때까지 잠복 상태로 탐지되지 않습니다.

공격자들은 다음과 같은 고도로 발전된 도구와 기술을 조합하여 사용합니다.

• 운영체제 깊숙한 곳에서 작동하는 커널 수준 임플란트
• 기존 탐지 방법을 회피하는 수동형 백도어
• 민감한 접근 정보를 수집하기 위한 자격 증명 수집 유틸리티
• 유연한 운영을 가능하게 하는 크로스 플랫폼 명령 및 제어 프레임워크

이러한 기능은 위협 행위자가 탐지 가능한 활동을 최소화하면서 장기간 지속성을 유지할 수 있도록 해줍니다.

BPFDoor: 커널 속 보이지 않는 백도어

이번 공격의 중심에는 은밀성과 정교함을 자랑하는 리눅스 기반 백도어인BPFDoor가 있습니다. 기존 악성코드와 달리, 이 악성코드는 탐지 가능한 네트워크 흔적을 남기지 않습니다.

BPFDoor는 포트를 열거나 가시적인 통신 채널을 유지하는 대신, 리눅스 커널 내의 버클리 패킷 필터(BPF) 기능을 활용합니다. 네트워크 트래픽을 내부적으로 검사하고, 특별히 조작된 '매직' 패킷을 수신했을 때만 활성화됩니다.

이 설계는 지속적인 감시 장치나 신호 전송 활동의 필요성을 없애고, 숨겨진 접근 메커니즘을 운영 체제에 직접 내장합니다. 결과적으로 기존 모니터링 도구로는 탐지하기 매우 어려운, 사실상 보이지 않는 진입점이 생성됩니다.

초기 침해: 엣지 인프라 악용

공격은 일반적으로 인터넷에 연결된 시스템과 엣지 디바이스를 대상으로 시작됩니다. 여기에는 VPN 게이트웨이, 방화벽, 웹 서비스, 특히 주요 기업 기술과 관련된 서비스가 포함됩니다.

초기 접근 권한을 확보한 공격자는 이후 공격 도구를 배포하여 제어 범위를 확장합니다. 이러한 도구에는 CrossC2와 같은 프레임워크는 물론 Sliver, TinyShell, 키로거, 무차별 대입 공격 도구 등이 포함됩니다. 이러한 도구들을 통해 자격 증명을 탈취하고, 내부 정찰을 수행하며, 침해된 환경 전반에 걸쳐 측면 이동을 할 수 있습니다.

이중 구성 요소 아키텍처: 제어 및 활성화

BPFDoor는 정밀성과 은밀성을 위해 설계된 두 부분으로 구성된 아키텍처를 통해 작동합니다. 한 구성 요소는 침해된 시스템에 상주하며, 미리 정의된 트리거 패킷을 감지하기 위해 수신 트래픽을 수동적으로 모니터링합니다. 감지되면 원격 셸을 생성하여 활성화됩니다.

두 번째 구성 요소는 공격자가 조작하는 컨트롤러입니다. 이 컨트롤러는 특수하게 조작된 패킷을 전송하여 악성 프로그램을 활성화하며, 피해자의 시스템 환경 내에서도 작동할 수 있습니다. 내부에 배치될 경우, 정상적인 시스템 프로세스로 위장하고, 추가 감염을 조율하며, 시스템 간의 제어된 횡적 이동을 용이하게 할 수 있습니다.

통신 수준 감시: 기존 백도어를 넘어서

BPFDoor의 특정 변종은 표준 백도어 기능을 뛰어넘는 기능을 보여줍니다. 스트림 제어 전송 프로토콜(SCTP) 지원을 통해 통신 관련 통신을 모니터링할 수 있습니다.

이러한 기능은 공격자가 가입자 활동을 파악하고, 사용자 행동을 추적하며, 잠재적으로 관심 대상 개인의 실제 위치를 파악할 수 있도록 합니다. 결과적으로 BPFDoor는 통신 인프라에 내장된 감시 계층 역할을 하여 민감한 운영에 대한 장기적이고 안정적인 가시성을 제공합니다.

회피 기술의 재창조: 새로운 변형 기술과 은신 능력 강화

새롭게 발견된 BPFDoor 변종은 회피 및 내구성을 향상시키도록 설계된 구조적 개선 사항을 도입했습니다. 주요 개선 사항은 다음과 같습니다.

• 겉보기에 정상적인 HTTPS 트래픽 내에 트리거 패킷을 숨김
• 안정적인 활성화 감지를 위해 고정 바이트 오프셋 마커('9999')를 적용합니다.
• 감염된 호스트 간의 은밀한 상호 작용을 위한 ICMP 기반 통신을 소개합니다.

이러한 기술은 악성 트래픽이 정상적인 네트워크 활동에 완벽하게 섞이도록 하여 탐지 가능성을 크게 줄이는 동시에 안정적인 명령 실행을 유지할 수 있도록 합니다.

진화하는 전문 기술: 더 깊이 파고들기

이번 캠페인은 공격자들의 공격 방식에 있어 더 광범위한 변화를 보여줍니다. 공격자들은 사용자 공간 악성코드에만 의존하는 대신, 컴퓨팅 스택, 특히 커널 및 인프라 수준에 악성코드를 심는 방식을 점점 더 많이 사용하고 있습니다.

통신 환경은 베어메탈 시스템, 가상화 계층, 고성능 네트워킹 하드웨어, 컨테이너화된 4G/5G 코어 구성 요소 등 복잡한 구조를 가지고 있어 특히 매력적인 공격 대상입니다. 이러한 악성 프로그램은 정상적인 서비스 및 런타임 환경과 통합하여 기존 엔드포인트 보안을 회피하고 장기간 탐지되지 않고 지속될 수 있습니다.

결론: 사이버 스파이 활동의 새로운 지평

이번 공격은 사이버 스파이 전술의 상당한 진화를 보여줍니다. 공격자들은 통신 인프라와 커널 수준의 은밀한 메커니즘을 활용하여 매우 민감한 환경에 장기간에 걸쳐 눈에 띄지 않게 접근할 수 있습니다.

BPFDoor와 같은 고급 도구의 사용과 혁신적인 회피 기술, 그리고 심층적인 시스템 통합은 방어자에게 점점 더 큰 과제를 안겨주고 있습니다. 이러한 위협을 탐지하고 완화하기 위해서는 컴퓨팅 스택의 하위 계층에 대한 가시성을 향상시키고 기존 보안 접근 방식을 재고해야 합니다.