랜섬웨어 공격자인 척 지적재산을 빼돌리는 중국의 APT 단체가 발견됐다. 미국, 일본, 인도 등의 기업들에서 피해자들이 대거 발견되는 중이다. 이들은 여러 개의 랜섬웨어를 번갈아 사용하며 피해자와 추적자의 눈을 속였다.
[보안뉴스 문가용 기자] 중국의 APT 단체가 랜섬웨어 공격자인 것으로 가장해 각종 정부 기관 첩보와 지적재산을 훔치는 것으로 보인다는 고발이 나왔다. 이 단체는 먼저 HUI로더(HUI Loader)라는 멀웨어 로더를 사용해 피해자의 시스템에 침투하며, 이를 통해 코발트스트라이크 비컨(Cobalt Strike Beacon)이라는 해킹 도구를 다운로드 한다. 그러고 나서 랜섬웨어도 심는다고 한다. 이 단체에는 브론즈 스타라이트(Bronze Starlight)라는 이름이 붙었으며, 보안 업체 시큐어웍스(Secureworks)가 추적 중에 있다.
![[보안뉴스 / 6.27.] 중국의 APT 단체, 랜섬웨어 공격 단체 사칭해 추적자의 시선 돌려](http://www.boannews.com/media/upFiles2/2022/06/80674086_6417.jpg)
[이미지 = utoimage]
시큐어웍스는 현재까지 브론즈 스타라이트가 입힌 피해가 세계 곳곳에서 발견되고 있다고 밝히고 있다. 미국에서는 제약회사, 로펌, 홍콩과 중국에 사무소를 두고 있는 매체 한 곳에서 피해가 있었다고 한다. 일본과 리투아니아의 전자 제품 부품 설계사 및 제조사, 브라질의 제약회사, 인도의 국방 및 항공 대기업 하나가 눈에 띄는 피해자들이다. 이들의 공통점은 중국 정부가 사이버 정찰 활동으로 정찰을 할 만한 곳이라는 것이라고 시큐어웍스는 주장한다.
다양한 랜섬웨어 패밀리들
브론즈 스타라이트는 2021년부터 활동을 시작해 왔으며, 현재까지 최소 5종의 랜섬웨어를 활용한 것으로 알려져 있다. 시큐어웍스가 발견한 건 록파일(LockFile), 아톰사일로(AtomSilo), 루크(Rook), 나이트스카이(NightSky), 판도라(Pandora)다. 록파일을 사용했을 때 브론즈 스타라이트는 전통적인 랜섬웨어 공격 기법이 적용됐지만, 나머지 랜섬웨어 패밀리의 경우 브론즈 스타라이트는 이중협박이라는 비교적 새로운 전략을 활용했다. 현재 아톰사일로, 루크, 나이트스카이, 판도라에 당한 기업들은 최소 21개로 파악된다.
얼른 보기에 브론즈 스타라이트는 금전적 이득을 추구하는 사이버 범죄 단체로 보인다. 시큐어웍스의 수석 컨설턴트인 마크 버나드(Marc Burnard)는 “하지만 이들의 진짜 목적은 해외의 유용한 첩보와 지적재산을 훔쳐 중국 정부가 주도하는 경제적 목적을 달성하는 데 일조하는 것으로 보인다”고 설명한다. 참고로 지난 해 미국 정부는 중국이 사이버 정찰 전문 집단을 활용해 불법적으로 정보를 수집한다고 공식적으로 비판하기도 했다. 중국의 이러한 사이버 정찰 활동은 수년 전부터 보안 업계가 지적해 온 것이기도 하다.
버나드는 “피해자의 면모, 공격 도구, 다양한 랜섬웨어의 활용 등 브론즈 스타라이트의 현재 캠페인이 가진 여러 가지 특성을 보건데, 단순히 금전적 이득을 위해 움직이는 것으로 보기 힘든 면들이 있다”고 말한다. “오히려 랜섬웨어 공격인 것처럼 함으로써 피해자와 조사자들의 시선을 돌리고, 그 사이에 자신들이 진짜 원하는 정보를 가져가는 것으로 보입니다. 랜섬웨어 운영자를 사칭하는 것이죠.”
브론즈 스타라이트가 여러 랜섬웨어를 사용하긴 했지만, 하나하나의 이용 기간은 짧았고, 피해자도 많지 않았다. 짧은 주기로 여러 개를 돌려가며 사용했다는 것이다. 이는 매우 특이한 점이다. 이렇게 랜섬웨어를 자주 바꾸면 간접 비용이 많이 들기 때문에 공격자들로서는 좋을 것이 없기 때문이다. 정말로 돈을 노리는 자들이었다면 그런 짓을 했을 가능성이 낮다는 게 시큐어웍스의 설명이다. “오히려 자신들에게로 눈길이 쏠리는 걸 막기 위해서 그랬다면 이해가 가지요.”
중국과의 연관성
버나드가 브론즈 스타라이트의 이번 캠페인을 추적하면서 발견한 해킹 도구는 HUI로더와 플러그엑스(PlugX)의 변종이었다. 이 둘 다 중국의 사이버 공격 단체들과 관련이 깊은 멀웨어들로 유명하다. 랜섬웨어 공격자들은 좀처럼 사용하지 않는 멀웨어들이기도 하다. “HUI로더의 경우 중국 정부의 지원을 받는 APT 단체들만 사용하는 고유의 멀웨어라고 보안 업계는 보고 있습니다. 그러므로 아무 공격 단체나 사용할 수 없는 것이지요. 이전에 일본 회사들에서 지적재산을 훔치기 위해 브론즈 리버사이드(Bronze Riverside)라는 중국 해킹 단체가 활용한 적이 있습니다.”
버나드는 HUI로더를 통해 코발트스트라이크 비컨을 로딩했다는 것에도 주목한다. “브론즈 스타라이트는 코발트스트라이크를 자주 애용하던 그룹이기도 합니다. 이 브론즈 스타라이트는 올해 초 중국의 또 다른 APT 단체인 브론즈 유니버시티(Bronze University)가 침해한 피해자 조직의 서버에 다시 한 번 침투하기도 했습니다. 이 때에도 이들은 HUI로더와 코발트스트라이크 비컨을 심었고요. 다만 이번 캠페인에서처럼 랜섬웨어를 퍼트리지는 않았습니다. 브론즈 스타라이트의 활동이 항상 중국의 다른 APT 단체와 겹친다는 게 흥미롭죠.”
브론즈 스타라이트는 HUI로더를 부지런히 업그레이드 하기도 한다. “캠페인 초기에 사용된 HUI로더는 페이로드를 로딩하고, 복호화 하고, 실행시키는 기능만을 가지고 있었습니다. 하지만 최신 버전에는 더 많은 기능이 붙어 있고, HUI로더 구 버전의 아쉬웠던 점들이 일부 개선되어 있었습니다. 특히 탐지 및 분석 방해 기능이 여러 개 덧붙은 것이 눈에 띕니다. HUI로더의 개발자가 꽤나 성능 향상과 보완을 부지런히 진행하고 있는 것으로 보입니다.”
브론즈 스타라이트는 이미 알려진 취약점들을 주로 익스플로잇 하는 것으로 보인다. 제로데이 취약점 익스플로잇이 발견된 사례는 아직까지 없다. 그러므로 패치가 가장 중요한 방어 수단이라고 버나드는 강조한다. “APT 단체의 공격이라고 하면 보통 제로데이를 생각하는데요, 꼭 그렇지도 않다는 게 이번 브론즈 스타라이트의 공격을 통해 드러납니다. APT 단체는 이미 알려진 취약점을 공략하는 데에도 매우 능숙합니다.”
3줄 요약
1. 중국의 한 APT 단체, 랜섬웨어 단체를 사칭하면서 자신들의 진짜 목적 달성.
2. 이 APT 단체의 이름은 브론즈 스타라이트로, 지적재산 탈취가 진짜 목적으로 보임.
3. 현재까지 눈속임을 위해 사용한 랜섬웨어는 5종.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 6.27.] 중국의 APT 단체, 랜섬웨어 공격 단체 사칭해 추적자의 시선 돌려](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
