EggStreme 파일리스 맬웨어

필리핀에 본사를 둔 한 군사 기업이 중국발 APT(지능형 지속 위협) 조직과 연계된 정교한 사이버 스파이 공격의 희생양이 되었습니다. 공격자들은 이전에 알려지지 않은 파일리스 맬웨어 프레임워크인 에그스트림(EggStreme)을 활용했는데, 이 프레임워크는 감염된 시스템에 장기간, 그리고 은밀하게 접근하도록 설계되었습니다.

EggStreme 프레임워크: 다단계 및 파일리스

EggStreme은 단일 악성코드가 아니라, 구성 요소들이 긴밀하게 통합된 프레임워크입니다. 감염 경로는 EggStremeFuel(mscorsvc.dll)로 시작하는데, EggStremeFuel은 EggStremeLoader를 배포하기 전에 시스템을 프로파일링하여 지속성을 확보합니다. 그 다음 EggStremeReflectiveLoader는 주요 백도어인 EggStremeAgent를 트리거합니다.

이 프레임워크의 파일리스 실행 방식은 악성 코드가 메모리에서만 실행되어 디스크에 최소한의 흔적만 남도록 합니다. 또한, 공격 체인 전반에 걸쳐 DLL 사이드로딩을 사용함으로써 탐지 및 포렌식 작업이 더욱 복잡해집니다.

EggStremeAgent: 중추신경계

이 프레임워크의 핵심에는 공격자의 주요 제어 허브 역할을 하는 완벽한 기능을 갖춘 백도어인 EggStremeAgent가 있습니다. EggStremeAgent는 시스템 정찰, 권한 상승 및 측면 이동을 지원하는 동시에 EggStremeKeylogger를 배포하여 활성 사용자 세션 전반의 키 입력을 캡처합니다.

백도어는 Google 원격 프로시저 호출(gRPC) 프로토콜을 통해 명령 및 제어(C2) 인프라와 통신하고 데이터 유출 및 셸코드 실행부터 페이로드 주입까지 무려 58개의 명령을 지원합니다.

보조 임플란트인 EggStremeWizard(xwizards.dll)는 공격자에게 역방향 셸과 파일 전송 기능을 제공합니다. 여러 대의 C2 서버를 통합하여 설계되어 하나의 서버가 중단되더라도 복원력을 보장합니다.

EggStremeFuel의 기능

초기 모듈인 EggStremeFuel은 정찰 및 공격자 인프라와의 통신 구축을 담당합니다. 이 모듈을 통해 운영자는 다음과 같은 작업을 수행할 수 있습니다.

• 시스템 드라이브 정보를 수집합니다.
• cmd.exe를 시작하고 파이프를 통해 통신을 유지합니다.
• myexternalip.com/raw를 사용하여 장비의 외부 IP 주소를 전송합니다.
• 로컬 및 원격 파일을 읽고, 내용을 저장하거나 전송합니다.
• 메모리 내 구성 데이터를 디스크로 덤프합니다.
• 필요한 경우 연결을 끊습니다.

전술, 기술 및 도구

위협 행위자들은 악성 DLL을 로드하는 합법적인 바이너리를 실행하여 DLL 사이드로딩을 지속적으로 사용합니다. 또한 내부 네트워크 내 발판을 확보하기 위해 Stowaway 프록시 유틸리티를 통합합니다. 이러한 기법은 악성코드의 파일리스 실행 흐름과 결합되어 정상적인 시스템 활동에 침투하여 기존 보안 도구의 탐지를 회피할 수 있도록 합니다.

지정학적 맥락과 귀속 과제

중국과 연계된 단체가 필리핀 실체를 표적으로 삼는 것은 새로운 일이 아니며, 중국, 베트남, 필리핀, 대만, 말레이시아, 브루나이가 관련된 남중국해의 영토 분쟁의 영향을 받았을 가능성이 큽니다.

이 특정 캠페인이 알려진 중국 APT 단체의 소행으로 밝혀진 것은 아니지만, 그 목표와 이해관계는 역사적으로 중국 국가 지원 행위자들과 연관되어 온 것들과 매우 일치합니다. 연구원들은 2024년 초부터 이 활동을 추적하기 시작했지만, 아직 기존 위협 단체와의 연관성을 확실하게 규명하지 못했습니다.

지속적이고 회피적인 위협

EggStreme 맬웨어 계열은 고도의 정교함, 지속성, 그리고 적응성을 자랑합니다. 파일리스 기법, 다단계 실행, 그리고 중복 C2 인프라에 대한 의존성은 운영자들이 최신 방어 수단에 대한 고도의 지식을 갖추고 있음을 보여줍니다. 방어자들에게 이 캠페인은 진화하는 위협 환경과 선제적 탐지 및 대응 전략의 중요성을 다시 한번 일깨워줍니다.