ApolloShadow 악성코드
ApolloShadow는 Secret Blizzard라는 위협 행위자가 수행하는 사이버 간첩 작전에 사용된 정교한 악성코드 변종입니다. 러시아 연방보안국(FSB) 소속으로 추정되는 이 조직은 ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug, Wraith 등 여러 코드명을 사용하고 있습니다. 이 악성코드는 최소 2024년부터 모스크바의 중요 기관을 표적으로 삼는 작전에 활발하게 사용되어 왔으며, 이러한 작전이 더욱 확대될 가능성이 높습니다.
목차
맞춤형 위협: ApolloShadow의 기원과 역량
ApolloShadow는 간첩 활동을 위해 특별히 제작된 악성 도구입니다. 이 도구의 배포는 외교 기관 및 기타 고부가가치 기관, 특히 러시아 인터넷 및 통신 서비스에 의존하는 기관을 표적으로 삼는 캠페인과 관련이 있습니다. 이 악성코드는 공격자가 피해자와 합법적 서비스 간의 통신을 가로채는 첨단 중간자 공격(AiTM) 기법을 사용하여 유포됩니다.
ApolloShadow의 최신 캠페인에서 AiTM 기술은 인터넷 서비스 제공업체(ISP) 수준에서 구현되었습니다. 피해자는 정상적인 Windows 동작을 모방하도록 설계된 캡티브 포털을 통해 리디렉션되었습니다. Windows 테스트 연결 상태 표시기가 활성화되면 사용자는 표준 확인 페이지에 액세스하는 대신 공격자가 제어하는 도메인으로 이동했습니다. 이러한 리디렉션은 사용자에게 감염 경로를 시작하기 위해 종종 신뢰할 수 있는 보안 프로그램으로 위장한 가짜 루트 인증서를 설치하도록 유도하는 메시지를 표시했습니다.
보안 침해: ApolloShadow가 기기를 손상시키는 방법
루트 인증서 설치는 ApolloShadow가 시스템에 접근할 수 있도록 하는 중요한 단계입니다. 루트 인증서가 활성화되면 다음과 같은 여러 작업이 수행됩니다.
- IP 주소를 포함한 장치 및 네트워크 정보를 수집합니다.
- 가짜 사용자 계정 컨트롤(UAC) 프롬프트를 통해 관리자 권한을 얻으려는 시도가 있었습니다. 발견된 사례에서는 설치 프로그램 이름이 'CertificateDB.exe'였습니다.
- 인증서가 설치되고 있다는 사기성 팝업을 표시합니다.
상승된 권한을 얻은 후, 맬웨어는 감염된 기기를 로컬 네트워크에서 검색할 수 있도록 합니다. 그런 다음 방화벽 설정을 변경하고 파일 공유를 활성화하여 시스템 방어 체계를 약화시키려고 시도합니다. 브라우저 보안을 우회하려면 다음 단계를 따르세요.
- Chromium 기반 브라우저는 자동으로 악성 인증서를 신뢰합니다.
- 그러나 Firefox의 경우 맬웨어가 감지되지 않도록 추가적인 구성 변경이 필요합니다.
ApolloShadow는 'UpdatusUser'라는 이름의 영구적인 관리 사용자 계정을 생성하여 장기 액세스를 보장합니다. 이 계정에는 하드코딩되고 만료되지 않는 비밀번호가 사용됩니다.
심층 침투: ApolloShadow가 가능하게 하는 것
ApolloShadow는 TLS/SSL 스트리핑 공격을 가능하게 하는 것으로 의심됩니다. 이러한 공격은 브라우저가 안전한 암호화 없이 접속하도록 강제하여, 맬웨어가 브라우징 활동을 모니터링하고 로그인 토큰 및 자격 증명과 같은 민감한 정보를 수집할 수 있도록 합니다.
이 악성코드는 은밀성과 지속성을 갖춰 매우 위험합니다. 정보 수집 및 원격 접근을 제공하는 동시에 탐지되지 않는 능력은 국가 지원 사이버 작전에서 이 악성코드의 가치를 더욱 강조합니다.
기만의 도구: 사회 공학과 감염 경로
ApolloShadow 캠페인은 기술적 조작과 사회 공학을 혼합한 수법입니다. 피해자는 네트워크 수준의 공격을 통해 리디렉션되고 조종될 뿐만 아니라, 신뢰할 수 있는 소프트웨어로 위장하여 악성 인증서를 설치하도록 유도하는 사기성 메시지의 표적이 됩니다.
ApolloShadow 캠페인은 주로 ISP 수준의 차단과 소셜 엔지니어링에 의존하지만, 감염 경로는 보다 기존의 맬웨어 전달 전략을 통해 확대될 수 있습니다.
일반적인 악성코드 배포 방법 :
기만적인 전술:
- 피싱 메시지(이메일, 개인 메시지, 소셜 미디어 게시물).
- 악성 링크나 첨부 파일.
- 사기성 소프트웨어 업데이트 또는 설치 프로그램.
안전하지 않은 다운로드 소스:
- 비공식 웹사이트.
- 무료 파일 호스팅 서비스.
- P2P(Peer-to-Peer) 공유 플랫폼.
또한 ApolloShadow와 같은 고급 도구를 포함한 일부 맬웨어 종류는 로컬 네트워크를 통해 전파되거나 USB 드라이브나 외장 하드 디스크와 같은 이동식 저장 장치를 사용하여 확산될 수 있습니다.
결론: 심각한 간첩 위협
ApolloShadow는 강력한 지정학적 동기를 가진 심각한 사이버 간첩 위협입니다. Secret Blizzard는 신뢰할 수 있는 브랜드, 기만적인 네트워크 수준 공격, 그리고 지속적인 접근 방식을 활용하여 정보 수집을 위한 강력한 도구를 구축했습니다. 러시아의 영향력이 미치는 지역 내 또는 그 근처에서 활동하는 조직, 특히 현지 ISP에 의존하는 조직은 이러한 진화하는 위협에 맞서기 위해 강화된 보안 프로토콜을 채택해야 합니다.
