전 세계의 주요 인프라는 고도로 조직화되고 국가가 후원하는 ‘스파이 생태계’의 위협을 받고 있습니다. 느슨하게 조직되어 있지만 풍부한 자원을 보유한 이 조직들은 필수 서비스를 방해하고 정보를 수집하기 위한 다양한 도구를 배포하고 있습니다. 일부는 교통 및 통신 허브와 상업 공급망에 대한 전용 서비스 거부(DDoS) 공격을 실행합니다. 또 다른 공격자들은 지정학적, 군사적 또는 경제적 이점을 추구하며 민감한 정보 채굴에 능숙하고 기존의 보안 조치를 우회하는 데 능숙합니다. 모든 것이 공격 대상이며 안전한 곳은 없습니다.
그렇다면 스파이 활동 생태계는 어떤 모습이며 어떻게 운영될까요? 이 블로그에서는 최근의 사례를 보여드리겠습니다.
10년 이상 인도 정부와 국방 기관은 끊임없는 디지털 그림자 아래에서 활동해 왔습니다. 그 이면에는 긴밀하게 연결된 첩보 생태계, 특히 투명 부족(APT36)과 긴밀하게 연계된 SideCopy 클러스터가 지속적으로 조사하고 적응하며 지속해 왔습니다. 개별 캠페인이 나타났다 사라지지만, 은밀하고 탄력적인 접근을 통한 장기적인 정보 수집이라는 근본적인 목표는 변하지 않으며, 지속적인 방어 노력의 중요성을 강조합니다.
이러한 공격자들은 화려하지 않습니다. 대신 검증된 전술, 스피어 피싱, 무기화된 문서, 맞춤형 및 기성 원격 액세스 트로이목마를 혼합하여 대상 환경에 조용히 침투합니다. 그러나 시간이 지남에 따라 이들의 툴링은 꾸준히 진화해 왔습니다. 크로스 플랫폼 페이로드, 메모리 상주 실행, 점점 더 은밀해지는 명령 및 제어 채널은 이제 속도보다는 인내심을 위해 설계된 에코시스템의 근간을 형성하여 방어자가 지속적으로 적응하도록 장려합니다.
활동의 급증: 관찰한 내용
지난 한 달 동안 아리아카 위협 연구소는 윈도우와 리눅스 환경 모두에서 인도 국방 및 정부 관련 조직을 표적으로 삼는 여러 개의 활발한 캠페인을 관찰했습니다. 이러한 캠페인의 초점을 자세히 살펴보면 지역 보안 부문이 직면한 지속적인 위협 환경을 강조할 수 있습니다.
Windows 캠페인: 생활 속 학대를 통한 쥐 잡기 캠페인
한 활성 캠페인은 LNK 및 HTA 파일을 전달하는 피싱 이메일을 사용하여 Windows 시스템을 표적으로 삼았습니다. 이 파일들은 궁극적으로 SideCopy 클러스터에 자주 연결되는 .NET 기반 원격 액세스 트로이 목마인 GETA RAT를 배포했습니다. 이 감염 체인은 기존의 파일 기반 탐지를 회피하기 위해 mshta.exe, XAML 역직렬화, 인메모리 페이로드 실행을 비롯한 합법적인 Windows 구성 요소를 악용합니다.
공격자들은 지속성을 확보하기 위해 감염 체인에서 중단이 발생하더라도 계속 액세스할 수 있도록 계층화된 시작 메커니즘을 구현했습니다. 그 결과 가볍지만 내구성이 뛰어난 발판을 마련하여 장기간 정찰 및 정보 수집에 적합합니다.
리눅스 캠페인: ARES RAT 및 시스템 수준 지속성
이와 동시에, 트랜스페어런트 트라이브가 점점 더 성숙해지고 있는 영역인 리눅스 환경에 초점을 맞춘 별도의 캠페인이 진행되었습니다. 이 작전에서는 Go 기반 다운로더를 사용하여 과거에 APT36 활동과 연관된 파이썬 기반 원격 액세스 도구인 ARES RAT를 설치했습니다.
일단 배포된 ARES RAT는 자동화된 시스템 프로파일링, 재귀적 파일 열거, 구조화된 데이터 유출을 수행했습니다. 시스템화된 사용자 서비스를 통해 지속성을 확보하여 악성코드가 재부팅 후에도 정상적인 시스템 작동에 섞여 살아남을 수 있었습니다. 이 캠페인은 Linux를 사후 고려 사항으로 취급하지 않고 플랫폼 간에 동등성을 유지하려는 의도를 분명히 보여줍니다.
떠오르는 도구: 데스크 RAT의 등장
아리아카 위협 연구소는 알려진 멀웨어군 외에도 악성 파워포인트 애드인(PPAM)을 통해 배포되는 Go 기반 원격 액세스 트로이목마인 Desk RAT를 배포하는 캠페인도 관찰했습니다. 이 새로운 툴을 강조하는 것은 위협 행위자들의 지속적인 혁신과 업데이트된 탐지 전략의 필요성을 강조합니다.
Desk RAT는 호스트 원격 측정과 실시간 모니터링에 중점을 둔 것이 특징입니다. 상세한 시스템 진단을 수집하고 웹소켓 기반 명령 및 제어를 사용하여 운영자와 통신하며 구조화된 하트비트 및 클라이언트 정보 메시지를 교환합니다. 이러한 설계는 손상된 호스트에 대한 지속적인 상황 인식을 가능하게 하여 APT36의 장기적인 감시 목표를 강화합니다.
더 큰 그림
이 캠페인을 종합해 보면, 익숙하지만 진화하는 내러티브를 강화합니다. 트랜스페어런트 트라이브와 사이드카피는 스파이 활동을 재창조하는 것이 아니라 개선하고 있습니다. 크로스 플랫폼 범위를 확장하고, 메모리 상주 기술을 활용하고, 새로운 전달 벡터를 실험함으로써 이 에코시스템은 전략적 초점을 유지하면서 노이즈 플로어 아래에서 계속 운영되고 있습니다.
방어자에게 중요한 점은 이러한 공격은 개별적인 사건이 아니라 성숙한 위협 생태계 내에서 조율된 노력이라는 점입니다. 이러한 공격자를 탐지하고 차단하려면 플랫폼 전반의 가시성, 미묘한 행동 신호에 대한 주의, 공격자의 가장 큰 무기는 속도가 아니라 지속성이라는 점을 이해하고 보안 팀이 포괄적인 조치를 취할 수 있도록 지원해야 합니다.
여기에서 전체 보고서 읽기