TOUGHPROGRESS 악성코드
연구원들은 중국 국가 지원 위협 조직인 APT41이 TOUGHPROGRESS라는 새롭게 발견된 악성코드를 활용하고 있다는 사실을 밝혀냈습니다. 이 정교한 악성코드는 구글 캘린더를 명령제어(C2) 채널로 활용하여 APT41이 안전하지 않은 활동과 정상적인 트래픽을 혼합할 수 있도록 합니다.
목차
은밀한 캠페인의 발견
이 활동은 2024년 10월 말, TOUGHPROGRESS가 감염된 정부 웹사이트에 호스팅되면서 처음 탐지되었습니다. 이 활동은 다른 정부 기관을 표적으로 삼아 클라우드 서비스를 이용하여 운영 방식을 위장하고 탐지를 피하는 데 집중되었습니다.
APT41: 익숙한 적
APT41은 Axiom, Blackfly, Brass Typhoon(이전 명칭 Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda, Winnti로도 추적되며, 글로벌 해운, 물류, 미디어, 기술 및 자동차 부문을 공격한 것으로 알려진 악명 높은 국가 조직입니다.
2024년 7월, APT41은 ANTSWORD, BLUEBEAM, DUSTPAN, DUSTTRAP과 같은 웹셸과 드로퍼를 조합하여 이탈리아, 스페인, 대만, 태국, 터키, 영국의 여러 조직을 표적으로 삼았습니다. 이보다 앞서 2024년 3월에는 APT41 내부의 한 하위 조직이 RevivalStone이라는 캠페인의 일환으로 제조, 자재, 에너지 분야의 일본 기업을 표적으로 삼았습니다.
기만적인 공격 체인
최근 문서화된 공격 사슬은 감염된 정부 사이트에 호스팅된 ZIP 아카이브로 연결되는 링크를 전달하는 스피어피싱 이메일로 시작됩니다. ZIP 파일 내부에는 디렉토리와 PDF 문서로 위장한 Windows 바로가기(LNK)가 포함되어 있습니다. 이 디렉토리에는 절지동물 이미지 7장('1.jpg'부터 '7.jpg'까지)이 포함되어 있는 것으로 보입니다.
피해자가 LNK를 클릭하면 감염이 시작되어, 목록에 있는 종을 수출 신고해야 한다고 주장하는 가짜 PDF 파일이 생성됩니다. 그러나 '6.jpg'와 '7.jpg'는 가짜 이미지입니다. 실제로 첫 번째 파일은 암호화된 페이로드이고, 두 번째 파일은 LNK가 활성화될 때 실행되는 DLL 파일입니다. 이 맬웨어는 탐지를 피하기 위해 메모리 전용 페이로드, 암호화, 압축, 제어 흐름 난독화와 같은 은밀한 전략을 사용합니다.
악성코드 배포의 3단계
이 맬웨어는 각각 중요한 역할을 수행하는 세 가지 구성 요소로 이루어져 있습니다.
- PLUSDROP: 메모리의 다음 단계를 해독하고 실행하는 DLL입니다.
명령 및 제어를 위한 Google 캘린더 활용
TOUGHPROGRESS는 공격자가 제어하는 Google 캘린더와 상호 작용하여 이벤트를 읽고 쓰고, 수집된 데이터를 이벤트 설명에 저장하며, 0분 단위 이벤트는 2023년 5월 30일로 하드코딩된 날짜로 설정됩니다. 2023년 7월 30일과 31일에 캘린더 이벤트에 저장된 암호화된 명령은 악성코드에 의해 폴링되고, 복호화되어 감염된 호스트에서 실행됩니다. 그 결과는 공격자가 검색할 수 있도록 캘린더에 다시 기록됩니다.
Google에서 조치를 취합니다
Google은 사기성 Google 캘린더를 제거하고 관련 Workspace 프로젝트를 종료하여 이 악성 인프라를 사실상 해체했습니다. 영향을 받은 조직에는 경고가 전달되었지만, 캠페인의 전체 규모는 아직 알려지지 않았습니다.
APT41의 클라우드 남용 역사
이번 사건은 APT41이 악의적인 목적으로 Google 서비스를 조작한 첫 사례가 아닙니다. 2023년 4월, APT41은 대만의 한 언론사를 표적으로 삼아 Google 드라이브의 비밀번호로 보호된 파일을 통해 Google 명령 및 제어(GC2) 도구를 배포했습니다. GC2가 배포된 후, 공격자는 Google 스프레드시트에서 명령을 읽고 Google 드라이브를 사용하여 데이터를 유출할 수 있었습니다.
