인도에 대한 사이버 스파이 활동에서 가짜 회의 파일 사용

파키스탄의 APT36 해커들이 무기화된 바로가기 파일, 피싱, 악성 소프트웨어, 그리고 2FA 도난으로 인도의 BOSS Linux 시스템을 공격하는 것으로 밝혀졌습니다.

파키스탄에 기반을 둔 해커 그룹 APT36, 또는 Transparent Tribe라고 알려진 이들이 인도 정부 시스템을 대상으로 새로운 사이버 스파이 작전을 시작했다고 CYFIRMA의 연구에 따르면 보고되었습니다.

해당 그룹은 인도의 BOSS Linux 운영 체제를 위해 설계된 맬웨어를 만들어, 다양한 환경에 적응해나가는 그들의 성장하는 능력을 보여주었습니다.

공격은 “Meeting_Notice_Ltr_ID1543ops.pdf_.zip”이라는 파일이 포함된 스피어 피싱 이메일로 시작합니다. 이 파일을 열면 “Meeting_Ltr_ID1543ops.pdf.desktop”이라는 가짜 단축파일이 나타납니다. 이 파일은 무해한 PDF처럼 보이지만, 실제로는 비밀스럽게 악성 소프트웨어를 다운로드하도록 프로그래밍되어 있습니다.

“보이는 ‘.desktop’ 파일은 평범한 PDF 바로가기로 위장되어 있지만, 파일이 실행되는 즉시 자동으로 순차적으로 실행되는 명령어들이 Exec= 라인에 포함되어 있습니다. 이를 통해 공격자는 피해자가 알아차리지 못하게 비밀리에 행동을 수행할 수 있습니다,”라고 연구자들은 설명했습니다.

이 악성 소프트웨어는 Firefox에서 진정한 PDF를 열어 사용자들이 의심스러운 행동을 발견하지 못하게 하는 기만적인 방법을 사용하여 미탐을 유지합니다.

은밀하게 작동하는 숨겨진 프로그램은 데이터를 도용하며, 컴퓨터가 켜질 때마다 자동으로 재시작하도록 설정되어 있습니다.

CYFIRMA에서 발견된 악성 파일들은 새롭게 등록된 두 개의 도메인 “securestore[.]cv”와 “modgovindia[.]space”에 연결하며, 이들은 공격자들에게 명령과 제어 서버의 역할을 합니다. 이 서버들을 통해 해커들은 명령을 전송하고 도난당한 데이터를 얻을 수 있으며, 정부 네트워크에 대한 접근을 유지할 수 있습니다.

CYFIRMA는 APT36이 주로 인도 정부 기관과 군사, 외교 조직을 대상으로 10년 이상 활동해온 국가 후원의 그룹으로 운영되고 있다고 말합니다.

Hacker News는 이번 캠페인이 APT36의 성장하는 세련미를 보여준다고 보도했습니다. Linux BOSS를 대상으로하는 것 외에도 그룹은 같은 캠페인에서 Windows 악성 코드를 개발하여 이중 플랫폼 접근법을 보여주고 있습니다.

CloudSEK에 따르면, 악성 코드는 가짜 디버깅 방지 및 안티-샌드박스 체크를 실행하면서 시스템을 정찰하여 탐지를 회피합니다. 이 공격은 Transparent Tribe 백도어 Poseidon의 배포로 이어졌는데, 이 백도어를 통해 공격자들은 자격증명을 도용하고 장기간 감시를 실시하며, 정부 네트워크 내에서 네트워크 수평 이동까지 가능하게 합니다. 이는 Hunt.io의 연구원들이 보고했습니다.

Hacker News는 Transparent Tribe가 인도의 방위 조직을 겨냥하여 자격증명을 훔치기 위한 가짜 로그인 포털과 심지어 인도 정부의 2단계 인증 (2FA) 시스템인 Kavach까지 공격한 직후 활동이 증가했다고 지적했습니다.

피싱 사이트에 이메일과 Kavach 코드를 입력하는 피해자들은 무심코 공격자에게 로그인 데이터를 직접 넘겨주게 되었습니다.

CYFIRMA는 다음과 같이 언급하였습니다: “APT36의 피해자의 운영 환경에 따라 전달 메커니즘을 맞춤화하는 능력은 성공 확률을 높이는 동시에 중요한 정부 인프라에 대한 지속적인 접근을 유지하고 전통적인 보안 컨트롤을 피해가는 데 도움이 됩니다.”

CYFIRMA는 “분석 결과 APT36에게 귀속된 조정된 사이버 스파이 활동이 진행 중이며, 무기화된 .desktop 파일을 이용하여 인도 정부 엔티티 내의 BOSS Linux 환경을 목표로 삼고 있다”고 경고했습니다.