파키스탄 연계 해킹 그룹, 인도 정부·국방·해양 집중 공격

[시큐리티팩트=최석윤 기자] 파키스탄과 관련된 것으로 추정되는 해킹 조직이 '제노 RAT(Xeno RAT)', '스파크 RAT(Spark RAT)'와 같은 다양한 원격 제어 악성 프로그램(RAT, Remote Access Trojan)과 함께 이전에 발견되지 않았던 새로운 악성코드 '컬백 RAT(CurlBack RAT)'를 사용하여 인도의 여러 중요 부문을 집중적으로 공격하고 있는 것으로 드러났다고 14일 해커뉴스가 보도했다.

사이버 보안 업체 SEQRITE가 2024년 12월에 처음 포착한 이들의 공격 활동은 인도 철도, 석유 및 가스 관련 기업, 그리고 외무부 산하 기관들을 표적으로 삼았다. 이는 해당 해킹 조직의 공격 대상 범위가 기존의 정부, 국방, 해양 부문 및 대학뿐만 아니라 더욱 넓은 영역으로 확대되고 있음을 시사하여 우려를 낳고 있다.

윈도우 프로그램 설치때 악성코드 심어

보안 연구원 사트위크 람 프라키(Sathwik Ram Prakki)는 "최근 공격 캠페인에서 주목할 만한 변화 중 하나는 공격 초기 단계에서 악성 파일을 실행하기 위해 주로 사용되던 HTA(HTML Application) 파일 대신 MSI(Microsoft Installer) 패키지를 주요 방식으로 채택했다는 점"이라고 분석했다. MSI 패키지는 윈도우 프로그램 설치에 사용되는 파일 형식으로, 이를 악용하여 악성코드를 은밀하게 시스템에 설치하려는 시도로 보인다.

이 해킹 그룹은 '사이드카피(SideCopy)'라는 이름으로 알려져 있으며, 최소 2019년부터 활동해 온 '트랜스페어런트 트라이브(Transparent Tribe)'(또 다른 이름: APT36) 내의 하위 조직으로 추정된다. '사이드카피'라는 이름은 자신들의 악성코드를 전달하는 방식이 '사이드와인더(SideWinder)'라는 또 다른 위협 행위자와 관련된 공격 방식을 모방하는 것처럼 보여서 붙여졌다.

과거 '사이드와인더' 공격 방식 모방

2024년 6월, SEQRITE는 '사이드카피'가 이전에 '사이드와인더' 공격에서 관찰된 기술을 활용하여 난독화된(알아보기 어렵게 만든) HTA 파일을 사용하는 것을 확인했다. 또한, 해당 파일에서는 '사이드와인더'가 사용했던 것으로 알려진 RTF 파일을 호스팅하는 웹사이트 주소에 대한 정보도 발견됐다.

지금까지 '사이드카피'와 관련된 것으로 알려진 악성코드로는 '액션 RAT(Action RAT)'와 '리버스 RAT(ReverseRAT)'가 있으며, 이들은 주로 문서나 이미지 파일을 훔치는 데 사용된다. 이 외에도 연결된 USB 드라이브에서 데이터를 몰래 복사하는 'USB 복사기', 그리고 원격 서버로부터 30개의 다양한 명령을 실행할 수 있는 .NET 기반의 '게타 RAT(Geta RAT)' 등이 있다.

특히, 이들이 사용하는 RAT(원격 제어 악성 프로그램)는 '어싱크 RAT(AsyncRAT)'에서 차용한 기능을 통해 파이어폭스(Firefox) 및 크롬(Chromium) 기반 브라우저에 저장된 모든 계정 정보, 프로필, 쿠키 데이터까지 훔칠 수 있는 능력을 갖추고 있어 심각한 개인 정보 유출 위험을 내포하고 있다.

당시 SEQRITE는 "'APT36'이 주로 리눅스(Linux) 시스템에 초점을 맞추고 있는 반면, '사이드카피'는 윈도우(Windows) 시스템을 대상으로 하며, 공격에 사용하는 악성코드 종류를 계속해서 늘려가고 있다"고 분석했다.

이메일 피싱 활용, 악성코드 유포

최신 연구 결과는 이 해킹 그룹이 이메일을 이용한 피싱 공격을 악성코드 유포 방식으로 적극적으로 활용하고 있으며, 동시에 그들의 공격 능력이 꾸준히 발전하고 있음을 보여준다. 이들이 사용하는 이메일에는 철도 직원 휴가 목록부터 공기업인 힌두스탄 석유 공사(HPCL)에서 발행한 사이버 보안 지침에 이르기까지 다양한 내용으로 위장한 미끼 문서가 첨부되어 사용자의 의심을 피하고 악성 파일을 실행하도록 유도한다.

특히 주목할 만한 것은 윈도우와 리눅스 시스템 모두를 공격 대상으로 삼을 수 있는 활동 클러스터이다. 이들은 최종적으로 '스파크 RAT(Spark RAT)'라는 이름의 크로스 플랫폼(다양한 운영체제에서 작동하는) 원격 제어 악성 프로그램과, 시스템 정보를 수집하고, 감염된 컴퓨터에서 파일을 다운로드하고, 임의의 명령을 실행하고, 시스템 권한을 상승시키고, 사용자 계정 목록을 확인할 수 있는 '컬백 RAT(CurlBack RAT)'라는 새로운 윈도우 기반 악성코드를 유포한다.

미끼 파일 이용해 악성코드 시스템에 침투

또 다른 공격 클러스터에서는 기본적인 문자열 조작 기법을 통합한 맞춤형 버전의 '제노 RAT(Xeno RAT)'를 유포하는 다단계 감염 과정을 사용하는 것이 관찰됐다. 이들은 미끼 파일을 이용하여 악성코드를 은밀하게 시스템에 침투시키는 방식을 사용한다.

SEQRITE는 "이 그룹은 악성 파일 실행 초기 단계에서 HTA 파일을 사용하는 방식에서 MSI 패키지로 전환했으며, DLL 사이드 로딩(정상적인 프로그램이 악성 DLL 파일을 대신 로드하도록 속이는 기술), 반사 로딩(악성코드를 메모리에 직접 로드하여 파일 시스템에 기록하지 않는 기술), 그리고 파워쉘(PowerShell)을 통한 AES 암호화 해제와 같은 고급 기술을 지속적으로 사용하고 있다"고 분석했다.

또한, "이들은 '제노 RAT' 및 '스파크 RAT'와 같은 맞춤형 오픈 소스 도구를 활용하고, 새롭게 발견된 '컬백 RAT'를 유포하고 있다. 탈취된 도메인과 가짜 웹사이트는 사용자 계정 정보 탈취 및 악성코드 호스팅에 사용되고 있으며, 이는 공격의 지속성을 높이고 탐지를 회피하려는 이 그룹의 끊임없는 노력을 강조한다"고 경고했다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기