모듈 구성의 파일레스 멀웨어인 아이스애플이 발견됐다. 탐지와 분석을 방해하는 기능도 빼어나 좀처럼 찾아내기가 힘든 멀웨어라고 한다. 그래서 현재까지의 피해 규모나 배후 세력에 대해서도 뭔가 명확히 나온 것이 하나도 없다.

[보안뉴스 문가용 기자] 중국 정부의 지원을 받고 있는 것으로 보이는 해킹 단체가 고급 멀웨어 프레임워크를 마이크로소프트 익스체인지 서버들에 심고 있다는 사실이 뒤늦게 드러났다. 기술 업계와 학계, 정부 기관들이 주요 공격 대상이며, 이러한 캠페인은 최소 지난 가을부터 시작된 것으로 보인다.

​

[이미지 = utoimage]

보안 업체 크라우드스트라이크(CrowdStrike)에 의하면 이 캠페인의 목표는 첩보 수집이라고 한다. 정부의 지정학적 활동과 밀접한 관계에 있는 첩보들이 특히 대상이 되는 것처럼 보이며, 첩보 수집을 위해 공격자들이 사용하는 악성 프레임워크에 크라우드스트라이크는 아이스애플(IceApple)이라는 이름을 붙였다. 아이스애플은 18개의 모듈로 구성되어 있으며, 덕분에 크리덴셜 수집, 파일 삭제, 디렉토리 삭제, 데이터 유출 등 다양한 악성 행위를 할 수 있다고 한다.

크라우드스트라이크의 분석에 따르면 이 모듈들은 전부 메모리 내에서만 돌아가게 되어 있으며, 덕분에 피해자 시스템에서 아이스애플의 흔적을 찾아내는 것은 대단히 어려운 일이 된다고 한다. 이런 ‘파일레스’ 공격 전략은 장기적인 공격을 진행할 때 흔히 활용된다. 그 외에도 아이스애플은 탐지와 분석을 회피하고 방해하는 기능도 충실히 갖추고 있다. 공격자들이 현대 보안 체계에 대한 이해도가 높은 것을 알 수 있다고 크라우드스트라이크는 설명한다.

크라우드스트라이크가 조사를 진행하는 동안 공격자들은 여러 번 피해자 시스템에 드나들었고, 매번 아이스애플을 사용해 여러 가지 악성 행위를 진행했다. 부회장인 파람 싱(Param Singh)은 “아이스애플은 과거에 등장했던 공격 도구들과 사뭇 다르다”며 “이미 실전에 활용될 정도로 충분한 개발 과정을 거쳤지만 아직도 활발히 개발되고 있으며, 기능이 늘어나고 있다는 점에서 특히 그렇다”고 설명한다. 또한 “현재까지 주로 익스체인지 서버의 인스턴스들만 공격한다는 점도 특이하다”고 덧붙였다.

크라우드스트라이크가 아이스애플을 제일 처음 발견한 건 2021년 말 경이었다. 크라우드스트라이크 고객사 한 곳의 익스체인지 서버에서 수상한 조짐들이 포착되면서였다. 조사를 진행했을 때 일부 닷넷(.NET) 어셈블리 파일들에서 비정상적인 특성들이 발견됐고, 이 부분을 더 깊게 파고들었을 때 아이스애플 프레임워크가 나타났다고 한다.

상술했던 것처럼 아이스애플은 모듈 구성으로 되어 있다. 이 때문에 공격자들은 필요한 기능을 그 때 그 때 모듈 형태로 개발해 쉽게 추가할 수 있다. “이 모듈들이 디스크에 흔적을 남기지 않으니 어지간해서는 피해자가 악성 행위를 파악할 수 없습니다. 완벽히 눈을 가릴 수 있어요. 공격자들 편에서는 장기적으로 피해자로부터 정보를 파내기에 편리한 구성이고, 방어자들 편에서는 무슨 일이 일어나는 건지 도무지 알 수 없는 구성인 것이죠.”

그 외에도 아이스애플 만의 탐지 회피 기술이 존재한다는 걸 크라우드스트라이크는 분석을 통해 발견할 수 있었다. “그 중 하나는 인터넷 정보 서비스(IIS) 내에 존재하지만 문서화 되지 않은 필드를 활용하는 것입니다. 어셈블리 파일 이름들을 정상적인 IIS 임시 파일처럼 보이게 만들어 환경 속에 자연스럽게 녹아들어가기도 합니다. 마이크로소프트 서비스의 각종 숨은 기능을 대단히 깊이 이해하고 있는 자들이 배후에 있음이 분명합니다.”

아이스애플 프레임워크는 다양한 방법으로 데이터를 빼돌리기도 한다. “파일 엑스필트레이터(File Exfiltrator)라는 모듈이 있어요. 단일 파일을 호스트에서부터 빼돌리는 기능을 가지고 있죠. 멀티파일 엑스필트레이터(Multifile Exfiltrator)라는 모듈의 경우 여러 개의 파일들을 암호화시키고 암축하여 빼돌립니다. 이렇게 세밀한 부분에까지 공격자들이 제어하면서 공격을 진행할 수 있습니다. 매우 치밀한 면모를 가지고 있습니다.”

이 캠페인은 현재에도 진행되는 중이라고 크라우드스트라이크는 경고한다. “추적을 하고는 있지만 워낙 파악하기가 힘든 구성을 하고 있어서 현재로서는 정확한 피해 규모도 알 수 없고, 어떻게 해야 아이스애플을 찾아낼 수 있는지도 정확히 파악하지 못하고 있습니다. 보안 업체들이 각자의 고객사들의 네트워크를 면밀히 모니터링 해서 아이스애플과 관계가 있는 것으로 의심되는 정보를 공유하지 않는다면 캠페인의 전모를 알기는 더 힘들 것입니다.”

3줄 요약

1. 지난 가을부터 사용되기 시작한 고급 멀웨어가 발견됨.

2. 파일레스 구성이라 발견이 매우 힘들어 아직까지 피해 규모 조차 파악할 수 없음.

3. 배후 세력은 현대 보안 시스템과 MS 서비스들에 대한 이해도가 높은 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=106727&page=1&mkind=1&kind=1)]