중국 해커 세력이 구글 드라이브를 이용해 해킹 공격을 개시한 사실이 알려졌다.

블리핑컴퓨터, 해커뉴스, 핵리드 등 복수 외신은 IT 보안 기업 트렌드 마이크로(Trend Micro) 연구팀의 발표를 인용, 브론즈 프레지던트(Bronze President), TA416라는 명칭으로도 알려진 중국 사이버 감시 공격 조직 ‘무스탕 판다(Mustang Panda)’가 전 세계 정부 기관과 연구 기관, 학술 기관을 겨냥한 해킹을 시도했다고 보도했다.

무스탕 판다는 세계 여러 국가에 멀웨어를 겨냥했으나 호주와 일본, 대만, 미얀마, 필리핀의 피해가 가장 심각한 것으로 확인됐다.

무스탕 판다가 개시한 전체 공격 중 84%는 정부나 법률 기관에 지정학적 문제를 담은 메시지나 메일을 전송하면서 접근했다. 무스탕 판다는 보안 메커니즘을 우회하려 구글 드라이브나 드롭박스 폴더에 피싱 페이지 접속 링크를 삽입했다. 링크를 클릭하면, RAR, ZIP, JAR 등 압축된 파일을 기기에 내려 받으면서 ToneShell, ToneIns, PubLoad 등 멀웨어를 설치한다.

ToneShell, ToneIns, PubLoad 중 PubLoad는 지난 5월, 시스코 탈로스(Cisco Talos)가 유럽 기관을 겨냥한 공격에 동원되었다고 경고한 멀웨어이다. 주로 등록 키 추가와 일정이 정해진 작업 추가, 셸코드 암호화 해제, 명령 및 제어(C2) 커뮤니케이션 관리 문제를 일으킨다.

트렌드 마이크로 연구팀은 ToneIns이 메인 백도어인 ToneShell 설치 프로그램이라고 설명했다. ToneShell 감지를 우회하면서 보안이 약해진 시스템에서 제거되지 않고 계속 존재하도록 한다. 또, ToneShell은 메모리에 직접 추가된 백도어이며, 코드 흐름을 방해한다. ToneShell은 디버깅 환경에서 실행되지 않아, 안티 샌드박스 메커니즘(anti-sandbox mechanism) 역할도 한다.

ToneShell은 C2 연결 후 피해자 ID 데이터를 포함한 패키지를 전송하고는 새로운 명령을 기다린다. ToneShell의 명령은 파일 업로드와 다운로드, 실행을 가능하도록 하면서 인트라넷 데이터 교환소에 셸을 설치한다.

트렌드 마이크로 연구팀은 무스탕 판다가 피해 기관의 주소를 메일의 ‘받는 사람’에 추가하지 않고, 가짜 메일을 동원한 사실에 주목했다. 이어, 이를 실제 피해 기관의 메일 주소는 숨은 참조에 포함됐다. 보안 분석을 우회하고 조사 속도를 늦추려는 시도라고 분석했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]