GoGra 리눅스 백도어

Harvester라는 이름으로 알려진 사이버 공격자가 GoGra 백도어의 새로운 리눅스 변종과 연관된 것으로 확인되어 사이버 스파이 활동이 지속적으로 확장되고 있음을 시사합니다. 이러한 공격은 주로 남아시아 지역의 기관들을 표적으로 삼는 것으로 추정되며, 분석 결과 인도와 아프가니스탄에서 활동이 시작된 것으로 나타났습니다. 이는 해당 지역의 조직들을 겨냥한 집중적인 정보 수집 캠페인임을 암시합니다.

신뢰받는 채널을 통한 은밀한 접근: 클라우드 인프라 악용

이 캠페인의 특징은 합법적인 클라우드 서비스를 악용하여 은밀한 통신을 한다는 점입니다. 악성코드는 마이크로소프트 그래프 API와 아웃룩 사서함을 숨겨진 명령 및 제어(C2) 채널로 활용합니다. 신뢰할 수 있는 플랫폼 내에 악성 통신을 삽입함으로써 공격자는 기존의 경계 방어 체계를 효과적으로 우회하여 탐지를 훨씬 어렵게 만듭니다.

Graphon에서 GoGra까지: 위협 행위자의 진화

하베스터는 2021년 말 남아시아의 통신, 정부 및 IT 부문을 대상으로 한 정보 탈취 캠페인과 연관되면서 처음으로 대중의 주목을 받았습니다. 당시 이 그룹은 Graphon이라는 맞춤형 악성 프로그램을 배포했으며, 이 프로그램은 C2 통신을 위해 마이크로소프트의 Graph API를 활용했습니다.

2024년 8월, 추가적인 활동을 통해 해당 그룹이 지역 내 한 언론사를 대상으로 한 공격에 연루되었음이 밝혀졌습니다. 이 공격에는 이전에는 볼 수 없었던 Go 기반 백도어인 GoGra가 포함되어 있었습니다. 최근 조사 결과에 따르면 Harvester는 이러한 기능을 Windows 환경을 넘어 확장하여 동일한 악성코드 계열의 Linux 전용 변종을 배포하고 있는 것으로 확인되었습니다.

기만적 침입: 사회 공학 및 실행 전술

초기 감염은 사회공학적 기법에 크게 의존합니다. 피해자는 PDF 문서로 위장한 ELF 바이너리 파일을 열도록 유도됩니다. 실행되면 드로퍼는 위장 문서를 표시하여 합법적인 문서인 것처럼 보이게 하는 동시에 백그라운드에서 조용히 백도어를 설치합니다.

명령 및 제어 워크플로: 정확성과 지속성

GoGra의 리눅스 변종은 통신 논리와 작동 흐름 면에서 윈도우 버전과 동일합니다. 이 악성 프로그램은 'Zomato Pizza'라는 이름의 지정된 Outlook 사서함 폴더와 상호 작용하며, OData(Open Data Protocol) 쿼리를 통해 2초마다 해당 폴더를 확인합니다. 악성 프로그램은 수신 메시지를 모니터링하고 특정 기준을 충족하는 메시지만 처리합니다.

• 제목이 '입력'으로 시작하는 이메일은 작업 지시 사항으로 분류됩니다.

플랫폼 전반에 걸친 일관된 개발 특징

운영 체제 및 배포 방식의 차이에도 불구하고 기본 C2 아키텍처는 Windows 버전과 Linux 버전 모두에서 동일하게 유지됩니다. 연구원들은 또한 두 버전 모두에서 동일한 하드코딩된 맞춤법 오류를 발견했는데, 이는 두 도구의 개발자 또는 개발팀이 동일하다는 강력한 증거입니다.

전략적 함의: 공격 범위 확대

리눅스 기반 백도어 도입은 Harvester가 역량을 다각화하고 운영 유연성을 높이기 위해 지속적으로 노력하고 있음을 보여줍니다. 여러 운영 체제를 대상으로 하고 신뢰할 수 있는 클라우드 서비스를 활용함으로써, Harvester는 탐지 가능성을 낮추면서도 더 광범위한 환경을 침해할 수 있도록 준비하고 있습니다.

이러한 진화는 현대 위협 행위자들의 정교함이 점점 더 커지고 있음을 보여주며, 적응형 행동 기반 사이버 보안 방어의 필요성을 강조합니다.