CWN(CHANGE WITH NEWS) - 시스코 탈로스 ＂신규 중국 멀웨어 프레임워크, 윈도·맥OS·리눅스 겨냥＂

기존 보고 사례가 없는 C2 프레임워크 ‘알키미스트(Alchimist)’가 윈도, 맥OS, 리눅스 시스템을 공격한 사실이 새로 발견됐다.

사이버 보안 전문 매체 해커뉴스는 보안 기술 기업 시스코 탈로스(Cisco Talos)에 따르면, “알키미스트는 중국어 간체로 작성된 인터페이스를 지원한다. 페이로드나 원격 세션을 생성하고 원격 기기에 페이로드를 적용한 뒤 스크린 샷을 촬영한다. 이후 원격 쉘코드를 실행하고 임의 명령을 실행할 수 있다”라고 설명했다.

알키미스트는 프로그래밍 언어 고로 작성돼, 인섹트(Insekt)라고 불리는 비컨을 포함하였으며, C2 서버로 원격 접근 기능을 관리할 수 있다.

알키미스트는 불과 3개월 전 발견된 중국 멀웨어 만주사카(Manjusaka)와 관련이 있다. 만주사카는 ‘슬리버(Sliver)나 코발트 스트라이크(Cobalt Strike)의 중국 버전’이라고 불리기도 하였다. 만주사카와 알키미스트의 웹 인터페이스 구현 방식은 조금 다르지만 둘 다 비슷한 기능을 탑재한다.

시스코 탈로스 연구팀은 “최근 들어 만주사카나 알키미스트와 같은 완성형 사이버공격 프레임워크가 유행하는 것은 포스트-컴프로마이즈(post-compromise) 툴의 인기가 상승하고 있다는 것을 의미한다. 기존에 알려진 코발트 스트라이크나 슬리버와 같은 멀웨어에 대한 탐지가 강화되면서 해커들은 알키미스트와 같이 다양한 기능을 제공하는 새로운 툴을 개발한 것으로 보인다”라고 분석했다.

알키미스트 C2패널은 추가적으로 파워쉘(PowerShell)이나 윈도와 리눅스를 겨냥한 wget 코드 조각 (wget code snippet)과 같은 페이로드를 생성할 수 있는 기능이 있어 공격자가 감염 경로를 지우고 인섹트 RAT 바이너리(Insekt RAT binary)를 유포할 수 있다.

이후 명령을 피싱 이메일 속 멀웨어 문서(maldoc)에 포함시켜, 이메일을 열면 자동적으로 다운로드가 시작되어 피해 기기의 백도어를 열도록 되어 있다.

알키미스트가 인섹트 RAT를 비롯한 여러 오픈 소스 툴을 이용하여 포스트-컴프로마이즈 활동을 벌인다는 것은 밝혀졌으나 아직까지 공격자의 운송 경로에 대한 정보는 정확히 알려진 바가 없다.

다만, 연구팀은 만주사카처럼 비밀 포럼, 마켓플레이스, 혹은 오픈 소스 배포 등의 방법을 이용할 것으로 추측하고 있다. 알키미스트는 단일 파일 기반 완성형 C2 프레임워크이기 때문에 공격자를 특정하기 힘들다는 특성이 있다.

알키미스트는 보통 백도어의 일반적인 기능을 탑재하였다. 멀웨어의 시스템 정보 추출과 스크린샷 촬영, 임의 명령 실행, 원격 파일 다운로드 등이 가능하다.

심지어 인섹트의 리눅스 버전은 “.ssh” 디렉토리 속 컨텐츠를 목록화하여 추출할 수 있다. 또, “~/.ssh/authorized_keys” 파일에 새로운 SSH 키를 추가하여 SSH에 대한 원격 제어를 용이하게 만들기도 한다.

연구팀은 PwnKit 취약점(CVE-2021-4034)을 이용하여 권한 강화가 가능한 Mach-O-dropper를 발견했으며, 사이버 공격 세력이 맥OS도 공격 대상으로 삼고 있다고 경고했다. 그러나 아직 [pkexec] 유틸리티는 맥OSX에 기본적으로 설치되어 있지 않아 권한 강화가 실제로는 발생하지 않을 수도 있다.

만주사카와 알키미스트 멀웨어에서 보이는 기능의 유사성은 ‘완성형 C2 프레임워크’의 이용이 활발해진다는 지표로 볼 수도 있다.

연구팀은 이에 대하여 “사이버 공격자가 피해 기기에 대한 쉘 접근 특권을 얻는 것은 마치 맥가이버칼을 손에 쥐는 것과 같다. 따라서 피해 기기에서 임의의 명령을 실행할 수 있게 되어 공격을 목표로 하는 조직에 큰 피해를 줄 수 있다”라고 전했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]