중국 해커, 새로운 리눅스·윈도우 악성코드로 통신사 노린다

Source: Bleeping Computer

중국의 사이버 스파이 활동이 새롭게 발견된 Linux와 Windows 악성코드, 각각 Showboat와 JFMBackdoor라 명명된 악성코드로 통신 사업자를 표적하고 있습니다.

이 작전은 최소 2022년 중반부터 활동했으며, 아시아‑태평양 지역과 중동 일부에 걸친 조직들을 공격해 왔습니다. Calypso 위협 그룹(다른 이름으로 Red Lamassu)이 배후로 지목되었습니다.

Lumen의 Black Lotus Labs와 PwC Threat Intelligence 연구원에 따르면, 위협 행위자는 여러 개의 통신사 관련 도메인을 설정·활용해 대상 기관을 가장했습니다.

Showboat Linux 악성코드

이번 공격에 사용된 Linux 임플란트는 Showboat/kworker라 불리며, 초기 침투 후 장기적인 지속성을 확보하도록 설계된 모듈형 포스트‑익스플로잇 프레임워크입니다. 초기 감염 경로는 알려지지 않았습니다.

Showboat가 대상 시스템에 배포되면 호스트 정보를 수집해 명령·제어(C2) 서버로 전송합니다. 또한 파일을 업로드·다운로드하고, 자체 프로세스를 은폐하며, 새로운 서비스를 생성해 지속성을 확보할 수 있습니다.

“특징적인 기능 중 하나는 hide 명령으로, Pastebin이나 온라인 포럼 같은 외부 웹사이트에 저장된 코드를 가져와 ‘데드 드롭’으로 활용해 프로세스를 호스트 머신에서 숨길 수 있다”고 Lumen의 Black Lotus Labs 연구원은 설명했습니다.

Source: Lumen

가장 눈에 띄는 기능은 SOCKS5 프록시 및 포트 포워딩 피벗 역할을 수행한다는 점으로, 침해된 엔드포인트에 발판을 마련하고 내부 네트워크의 다른 시스템으로 이동할 수 있게 합니다.

Source: Lumen

JMFBackdoor Windows 악성코드

PwC Threat Intelligence 연구원은 Red Lamassu의 Windows 감염 체인을 분석한 결과, 배치 스크립트를 실행해 페이로드를 떨어뜨린 뒤 DLL 사이드로드 절차(fltMC.exe + FLTLIB.dll)를 진행한다는 점을 확인했습니다. 최종적으로 JMFBackdoor라는 페이로드가 로드됩니다.

Source: PwC

JMFBackdoor는 다음과 같은 기능을 갖춘 완전형 Windows 스파이 임플란트입니다:

• 리버스 셸 접근 – 감염된 머신에서 원격 명령 실행.
• 파일 관리 – 파일 업로드, 다운로드, 수정, 이동, 삭제.
• TCP 프록시 – 피해자 시스템을 내부 네트워크로 연결하는 중계 역할.
• 프로세스/서비스 관리 – 프로세스와 서비스를 시작·중지·생성·종료.
• 레지스트리 조작 – Windows 레지스트리 키와 값을 수정.
• 스크린샷 캡처 – 피해자 화면을 캡처해 암호화 후 유출.
• 암호화된 설정 관리 – 암호화된 구성 파일에 악성코드 설정을 저장·갱신.
• 자체 제거 및 안티 포렌식 – 활동 은폐, 지속성 제거, 흔적 삭제.

인프라 분석 결과, 해커들은 부분적으로 분산된 운영 모델을 따르는 것으로 보이며, 여러 클러스터가 유사한 인증서 생성 패턴과 도구를 공유하면서도 서로 다른 피해자 집단을 목표로 하고 있습니다. Lumen은 이러한 도구가 여러 중국계 위협 그룹에 걸쳐 공유되고 있으며, 각 그룹이 다른 지역을 표적으로 삼으면서도 동일한 악성코드 생태계를 활용하고 있다고 결론짓습니다.