Speagle Malware, 손상된 서버를 통해 데이터를 탈취하기 위해 Cobra DocGuard를 해킹

Source: The Hacker News

번역을 진행하려면 번역하고자 하는 전체 텍스트를 제공해 주시겠어요?
텍스트를 주시면 요청하신 대로 한국어로 번역해 드리겠습니다.

개요

사이버 보안 연구원들은 합법적인 문서 보안 프로그램 Cobra DocGuard의 기능과 인프라를 탈취하는 새로운 악성코드 패밀리 Speagle을 확인했습니다. 이 악성코드는 감염된 컴퓨터에서 민감한 정보를 은밀히 수집하고 이를 손상된 Cobra DocGuard 서버로 전송하며, 데이터 유출을 정상적인 클라이언트‑서버 통신으로 위장합니다.

Cobra DocGuard 배경

Cobra DocGuard는 EsafeNet이 개발한 문서 보안 및 암호화 플랫폼입니다. 실제 사례에서 이 소프트웨어가 악용된 사례가 두 번 기록되었습니다:

• 2023년 1월 – 홍콩의 한 도박 회사에 대한 침입이 Cobra DocGuard를 통해 푸시된 악성 업데이트와 연결되었습니다 (ESET 보고서).
• 2023년 8월 – Symantec은 Carderbee라는 코드명으로 알려진 위협 클러스터가 Cobra DocGuard의 트로이 목마 버전을 사용해 PlugX 백도어를 배포했으며, 홍콩 및 기타 아시아 국가의 조직을 표적으로 삼았다고 보고했습니다.

Speagle 악성코드 특성

• Targeted exfiltration – Speagle는 Cobra DocGuard가 설치된 시스템에서만 활성화되어, 트래픽을 정상적인 클라이언트‑서버 통신과 섞을 수 있습니다.
• Attribution – 이 악성코드는 귀속되지 않지만, 선택적인 타깃팅은 국가 지원 스파이 활동이나 “as‑a‑service” 기능을 제공하는 민간 계약자를 암시할 수 있습니다.
• Tracking name – 이 활동은 Runningcrab이라는 명칭으로 모니터링되고 있습니다.

“이는 고의적인 타깃팅을 나타내며, 정보 수집이나 산업 스파이 활동을 촉진하기 위한 것일 수 있다”고 Broadcom 소유의 위협 헌팅 팀이 말했습니다.

Delivery and Infection Vector

정확한 전달 방법은 알려지지 않았습니다. 연구원들은 이전에 기록된 두 건의 Cobra DocGuard 침해와 유사한 공급망 공격을 의심하고 있습니다.

기술 작동

1. 초기 실행 – 32비트 .NET 실행 파일이 피해자 호스트에서 실행됩니다.
2. 환경 확인 – 악성코드는 설치 폴더를 검사하여 Cobra DocGuard의 존재 여부를 확인합니다.
3. 데이터 수집 – 시스템 상세 정보와 특정 위치의 파일을 수집하며, 여기에는 웹 브라우저 기록 및 자동 입력 데이터가 포함됩니다.
4. 명령·제어 – Speagle은 정식 Cobra DocGuard 서버를 C2 및 탈취 지점으로 사용합니다.
5. 자체 제거 – 악성코드는 Cobra DocGuard와 연관된 드라이버를 호출해 감염된 호스트에서 자신을 삭제합니다.

추가 기능

한 변종은 특정 데이터 수집 모듈을 전환할 수 있으며, 동풍‑27 (DF‑27) 과 같은 중국 탄도 미사일과 관련된 파일을 검색합니다.

“Speagle은 Cobra DocGuard의 클라이언트를 교묘히 이용해 악성 활동을 위장하고, 인프라를 활용해 탈취 트래픽을 숨기는 새로운 기생 위협입니다,” 라고 연구원들은 언급했습니다.

귀속 및 위협 환경

이 악성코드의 설계는 신뢰받는 보안 제품을 C2 및 데이터 유출에 활용하는 방식으로, 이전 공급망 공격에서 보였던 전술을 반영합니다. 선택적인 타깃 지정과 자체 삭제를 위한 드라이버 사용은 Cobra DocGuard의 아키텍처에 대한 깊은 지식을 가진 정교한 공격자를 시사합니다.

References

• Symantec & Carbon Black 보고서 on Speagle
• Carderbee 공격 on Cobra DocGuard (The Hacker News, 2023년 8월)
• 2022년 침입에 대한 ESET 문서
• 추가 분석 및 스크린샷