Showboat Malware

사이버 보안 연구원들이 이전에 보고되지 않았던 '쇼보트(Showboat)'라는 리눅스 악성코드 프레임워크를 발견했습니다. 이 악성코드는 적어도 2022년 중반부터 중동의 한 통신 사업자를 대상으로 활발하게 배포되어 왔습니다. 모듈형 사후 공격 툴킷으로 작동하는 이 악성코드는 원격 셸 접근, 파일 전송, 그리고 감염된 환경 내에서 SOCKS5 프록시 역할을 수행할 수 있습니다.

보안 분석가들은 해당 악성 소프트웨어가 중국과 관련된 하나 이상의 위협 클러스터와 연관되어 있다고 보고 있습니다. 조사관들은 악성 소프트웨어의 명령 및 제어(C2) 인프라와 중국 쓰촨성 성도인 청두에서 추적된 IP 주소 간의 연관성을 확인했으며, 이는 중국 정부의 지원 가능성에 대한 의혹을 더욱 강화하고 있습니다.

중국과 연계된 기존 위협 활동과의 연관성

해당 활동과 관련된 그룹 중 하나는 칼립소(Calypso)로, 브론즈 메들리(Bronze Medley) 또는 레드 라마수(Red Lamassu)로도 알려져 있습니다. 이 위협 행위자는 적어도 2016년 9월부터 활동해 왔으며, 브라질, 인도, 카자흐스탄, 러시아, 태국, 터키 등지의 정부 및 기관을 표적으로 삼아 왔습니다. 이 그룹에 대한 정보는 2019년 포지티브 테크놀로지스(Positive Technologies)의 연구 보고서를 통해 처음으로 공개되었습니다.

칼립소는 이전에 PlugX와 같은 멀웨어 계열과 WhiteBird 및 BYEBY를 포함한 백도어를 사용했습니다. BYEBY 멀웨어는 Mikroceen이라는 더 큰 운영 클러스터에 속하며, 이 클러스터는 SixLittleMonkeys 위협 클러스터와도 연관되어 있습니다. 연구원들은 또한 SixLittleMonkeys와 중국과 연계된 또 다른 공격인 Webworm 사이에 전술적 유사점이 있음을 지적했습니다.

Showboat이 PlugX, ShadowPad, NosyDoor와 같은 공유 프레임워크와 함께 등장한 것은 중국과 연계된 위협 행위자들 사이에서 나타나는 더 광범위한 추세를 보여줍니다. 즉, 여러 스파이 그룹이 공격용 사이버 도구를 재사용하고 배포하는 것입니다. 이러한 패턴은 국가 지원 운영자들에게 악성코드와 운영 자원을 공급하는 중앙 집중식 '디지털 보급 담당관'의 존재를 강력하게 시사합니다.

고도화된 리눅스 백도어 기능이 심각한 우려를 불러일으키고 있습니다.

이번 조사는 연구원들이 2025년 5월에 업로드된 ELF 바이너리를 분석하면서 시작되었으며, 초기에는 루트킷과 유사한 기능을 가진 고도화된 리눅스 백도어로 분류되었습니다. 해당 악성코드 샘플은 EvaRAT이라는 이름으로도 추적되고 있습니다.

정확한 감염 경로는 아직 알려지지 않았지만, 이전 칼립소(Calypso) 공격 사례에서는 취약점을 악용하거나 기본 원격 접속 계정을 탈취한 후 ASPX 웹 셸을 배포하는 방식이 사용되었습니다. 또한 이 그룹은 악명 높은 ProxyLogon 공격의 초기 단계였던 마이크로소프트 Exchange Server의 CVE-2021-26855 취약점을 악용한 최초의 중국 공격 그룹 중 하나였습니다.

Showboat는 원격 C2 서버와 통신을 설정하고, 상세한 시스템 정보를 수집하며, 수집된 데이터를 암호화 및 Base64 인코딩된 형태로 PNG 필드 내에 숨겨 전송하도록 설계되었습니다. 또한 이 멀웨어는 다음과 같은 다양한 은밀 및 운영 기능을 지원합니다.

• 파일 업로드 및 다운로드 기능
• 은폐 기법
• C2 서버 관리
• 내부 네트워크 스캔
• 측면 이동을 위한 SOCKS5 프록시 터널링

Showboat는 감염된 호스트에서 탐지를 피하기 위해 Pastebin에서 코드 조각을 가져오는데, 연구원들은 해당 콘텐츠가 2022년 1월 11일에 게시된 것을 추적했습니다. 분석가들은 이 악성코드의 주요 목표가 대상 네트워크, 특히 인터넷에 직접 노출되지 않고 내부 LAN 연결을 통해서만 접근 가능한 시스템에 지속적인 접근 권한을 확보하는 것이라고 보고 있습니다.

확장되는 인프라가 국제적인 희생자들을 드러낸다

위협 인프라에 대한 추가 조사 결과, 여러 지역에 걸쳐 다수의 피해 조직이 확인되었습니다. 연구원들은 아프가니스탄에 기반을 둔 인터넷 서비스 제공업체와 아제르바이잔에 위치한 또 다른 미확인 조직을 확인했습니다. 유사한 X.509 인증서를 공유하는 C2 서버 클러스터는 미국과 우크라이나의 기관에도 영향을 미칠 수 있는 침해 가능성을 시사했습니다.

지속적인 악성코드 삽입 공격의 확산은 많은 위협 행위자들이 더욱 은밀한 '네트워크 침투 후 생존' 기법을 사용하고 있음에도 불구하고, 고도화된 공격 그룹들이 장기적인 접근 및 운영 제어를 위해 여전히 맞춤형 백도어에 크게 의존하고 있음을 보여줍니다. 보안 전문가들은 Showboat와 같은 악성코드의 발견은 해당 네트워크 내에서 더 광범위한 침해가 발생했을 가능성을 시사하는 중요한 지표로 간주해야 한다고 경고합니다.

JFMBackdoor, 리눅스 시스템을 넘어 캠페인을 확장하다

연구원들은 쇼보트 외에도 칼립소가 아프가니스탄 통신 부문을 대상으로 한 공격 중에 JFMBackdoor라는 완전한 기능을 갖춘 윈도우 악성코드를 배포하는 것을 확인했습니다. 이 악성코드는 DLL 사이드 로딩이라는 기법을 통해 전달되는데, 이는 정상적인 애플리케이션을 악용하여 악성 동적 링크 라이브러리를 로드하는 방식입니다.

감염 경로는 신뢰할 수 있는 실행 파일을 실행하는 배치 스크립트로 시작되며, 이 실행 파일은 악성 DLL 페이로드를 로드합니다. JFMBackdoor는 활성화되면 공격자에게 감염된 시스템에 대한 광범위한 운영 제어 권한을 제공합니다. 주요 기능은 다음과 같습니다.

• 원격 셸 실행
• 파일 관리 작업

• 네트워크 프록시 기능

• 스크린샷 캡처

• 자가 제거 메커니즘

아프가니스탄과 그 통신 인프라에 대한 집중적인 공격은 이전에 레드 라마수 작전과 연관되었던 광범위한 전략적 목표와 밀접하게 연관되어 있으며, 이는 해당 작전이 중국의 위협 활동과 연계된 더 큰 규모의 사이버 첩보 활동의 일부라는 평가를 뒷받침합니다.