러시아 해커, 카주아 백도어를 모듈형 P2P 봇넷으로 전환
러시아 해커 그룹 Secret Blizzard는 오랫동안 사용돼 온 Kazuar 백도어를 장기적인 지속성, 은폐성 및 데이터 수집을 목표로 하는 모듈형 피어‑투‑피어(P2P) 봇넷으로 발전시켰습니다.
Turla, Uroburos, Venomous Bear와 활동이 겹치는 Secret Blizzard는 러시아 정보기관(FSB)과 연계된 것으로 알려졌으며, 유럽·아시아·우크라이나 전역의 정부·외교 기관, 방위 관련 단체, 핵심 시스템을 주 타깃으로 삼고 있습니다.
Kazuar 악성코드는 2017년부터 문서화돼 왔으며, 연구진은 그 코드 계통이 2005년까지 거슬러 올라간다고 밝혔습니다. 이 악성코드의 활동은 FSB 소속 Turla 스파이 그룹과 연관된 것으로 보입니다.
2020년에는 유럽 정부 기관을 대상으로 한 공격에 사용된 것이 밝혀졌으며(관련 기사), 3년 뒤에는 우크라이나를 겨냥한 공격에 투입된 것이 확인되었습니다(관련 기사).
“리딩” Kazuar
Microsoft 연구원들은 최근 변종 Kazuar를 분석하면서 악성코드가 이제 Kernel, Bridge, Worker라는 세 가지 별도 모듈로 동작한다는 점을 확인했습니다.
- Kernel 모듈은 작업을 관리하고 다른 모듈을 제어하며, 리더를 선출하고 봇넷 전체의 통신 및 데이터 흐름을 조정하는 중앙 코디네이터 역할을 합니다.
- 리더는 침해된 환경이나 네트워크 구역 내에서 하나의 감염 시스템으로, 명령‑제어(C2) 서버와 통신해 작업을 받아오고 이를 내부의 다른 감염 시스템에 전달합니다.
- 리더가 아닌 시스템은 “무음(silent)” 모드에 들어가 C2와 직접 통신하지 않으며, 이로 인해 은폐성이 높아지고 탐지 표면이 감소합니다.
“Kernel 리더는 다른 Kernel 모듈을 대신해 Bridge 모듈과 통신하는 선출된 Kernel 모듈이며, 다수의 감염 호스트가 외부 트래픽을 대량 발생시키는 것을 방지해 가시성을 낮춥니다.” — Microsoft(원문 보기)
리더 선출 과정은 내부적으로 자동 수행되며, 가동 시간(uptime), 재부팅 횟수, 중단 횟수 등을 기준으로 합니다.
- Bridge 모듈은 외부 통신 프록시 역할을 수행해 선출된 Kernel 리더와 원격 C2 인프라 사이의 트래픽을 HTTP, WebSockets, Exchange Web Services(EWS) 등 다양한 프로토콜을 이용해 중계합니다.
Kazuar 내부 통신 다이어그램
출처: Microsoft
내부 통신은 Windows Messaging, Mailslot, Named Pipe 등 IPC(프로세스 간 통신)를 활용해 정상적인 운영 소음에 섞이도록 설계되었습니다. 메시지는 AES로 암호화되고 Google Protocol Buffers(Protobuf) 형식으로 직렬화됩니다.
-
Worker 모듈은 실제 스파이 작업을 수행합니다. 주요 기능은 다음과 같습니다.
- 키 로깅
- 스크린샷 캡처
- 파일 시스템에서 데이터 수집
- 시스템·네트워크 정찰
- 이메일/MAPI 데이터 수집(Outlook 다운로드 포함)
- 윈도우 모니터링
- 최근 파일 탈취
수집된 데이터는 암호화된 뒤 로컬에 임시 저장되고, 이후 Bridge 모듈을 통해 외부로 유출됩니다.
Kazuar가 수집하는 시스템 정보 유형
출처: Microsoft
Microsoft는 Kazuar가 이제 150가지가 넘는 구성 옵션을 지원해 운영자가 특정 보안 우회 기능을 켜거나 끌 수 있으며, 작업 스케줄링, 데이터 탈취 시점·크기 조절, 프로세스 인젝션, 명령 실행 관리 등을 자유롭게 조정할 수 있다고 강조했습니다.
보안 우회 옵션으로는 Antimalware Scan Interface(AMSI) 우회, Event Tracing for Windows(ETW) 우회, Windows Lockdown Policy(WLDP) 우회가 새롭게 추가되었습니다.
Secret Blizzard는 주로 장기적인 지속성을 확보해 정밀한 정보 수집을 목표로 합니다. 이들은 정치적 의미가 큰 문서와 이메일 내용을 탈취합니다.
Microsoft는 Kazuar가 모듈형이며 높은 설정 자유도를 갖고 있어 전통적인 정적 시그니처 기반 방어가 무력화되기 쉬우므로, 기업은 행위 기반 탐지에 중점을 둘 것을 권고합니다.
The Validation Gap: Automated Pentesting Answers One Question. You Need Six.
자동화된 펜테스팅 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 횡단할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 이 도구들은 여러분의 방어 체계가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 안전한지 등을 검증하지 못합니다.
이 가이드는 여러분이 실제로 검증해야 할 6가지 영역을 다룹니다.