Webworm APT
사이버 보안 연구원들은 중국과 연계된 위협 그룹인 웹웜(Webworm)과 관련된 새로운 공격 활동을 확인했으며, 특히 디스코드(Discord)와 마이크로소프트 그래프 API(Microsoft Graph API)를 악용하여 명령 및 제어(C2) 통신을 위한 정교한 맞춤형 백도어를 배포한 점을 지적했습니다. 이러한 최근 활동은 은밀성, 프록시 기반 인프라, 그리고 탐지를 회피하기 위해 합법적인 플랫폼을 악용하는 등 그룹의 운영 전략이 더욱 진화했음을 보여줍니다.
목차
핵심 부문을 겨냥한 지속적인 위협
2022년 9월에 처음으로 공개적으로 확인된 웹웜(Webworm)은 적어도 그 해부터 활동해 온 것으로 추정됩니다. 이 그룹은 IT 서비스, 항공우주, 전력 등의 분야에서 사업을 운영하는 정부 기관과 기업을 지속적으로 공격해 왔습니다. 피해자는 러시아, 조지아, 몽골 및 여러 아시아 국가에서 확인되었습니다.
해당 공격자는 과거 Trochilus RAT, Gh0st RAT, 그리고 Hydraq 또는 McRat으로도 알려진 9002 RAT와 같은 원격 접속 트로이목마(RAT)를 주로 사용해 왔습니다. 보안 분석가들은 또한 이 그룹의 활동이 FishMonger, SixLittleMonkeys, Space Pirates 등 중국과 연관된 여러 클러스터와 관련이 있다고 지적했습니다. 특히 SixLittleMonkeys는 중앙아시아, 벨라루스, 러시아, 몽골 지역의 기관들을 대상으로 Gh0st RAT와 Mikroceen 멀웨어 계열을 사용한 것으로 주목받았습니다.
보다 은밀한 작전으로의 전환
지난 2년간 웹웜은 기존의 악성코드 프레임워크에서 벗어나 은밀한 프록시 유틸리티와 반합법적인 네트워킹 도구를 사용하는 방향으로 점차 전환해 왔습니다. 이러한 변화는 탐지 위험을 줄이면서도 감염된 환경 내에서 지속적인 접근 권한을 유지하기 위한 것으로 보입니다.
2025년에 해당 그룹은 새롭게 발견된 두 개의 백도어를 자신들의 공격 수단에 추가했습니다.
EchoCreep은 Discord를 명령 및 제어 작업에 활용하고 cmd.exe를 통한 원격 명령 실행과 함께 파일 전송을 지원합니다.
GraphWorm은 Microsoft Graph API를 통해 통신하는 더욱 정교한 악성 프로그램으로, 운영자가 새로운 cmd.exe 세션을 생성하고, 프로세스를 실행하고, Microsoft OneDrive를 통해 파일을 업로드 및 다운로드하고, 운영자의 지시를 받으면 자체 실행을 종료할 수 있도록 합니다.
연구원들은 또한 악성코드 페이로드와 SoftEther VPN과 같은 유틸리티를 호스팅하기 위해 WordPress 포크로 위장한 GitHub 저장소가 사용되는 것을 관찰했습니다. 이러한 전술은 악성 인프라가 합법적인 개발 활동에 섞여 들어가도록 하여 탐지를 어렵게 만듭니다. SoftEther VPN 사용은 이전에 여러 중국 사이버 스파이 그룹이 사용했던 수법과 일치합니다.
지리적 범위 및 프록시 인프라 확장
웹웜의 최근 캠페인은 벨기에, 이탈리아, 세르비아, 폴란드, 스페인의 정부 기관과 남아프리카 공화국의 한 대학을 포함한 유럽 대상을 점점 더 집중적으로 공격하고 있음을 보여줍니다.
동시에, 공격자는 Trochilus 및 9002 RAT와 같은 기존 멀웨어 계열을 단계적으로 폐기하고 맞춤형 프록시 프레임워크 및 터널링 도구를 사용하는 것으로 보입니다. 이 그룹과 관련된 추가 유틸리티로는 iox, WormFrp, ChainWorm, SmuxProxy 및 WormSocket이 있습니다. 조사 결과 WormFrp는 손상된 Amazon S3 버킷에서 구성 데이터를 가져오는 것으로 나타났습니다.
이러한 프록시 도구는 통신을 암호화하고 내부 및 외부 시스템 간의 연쇄 연결을 지원하도록 설계되어 공격자가 운영 활동을 숨기면서 여러 호스트를 통해 트래픽을 라우팅할 수 있도록 합니다. 분석가들은 이러한 도구가 공격자의 움직임을 더욱 은폐하고 지속성을 높이기 위해 SoftEther VPN과 함께 사용되는 경우가 많다고 보고 있습니다.
디스코드 기반 명령 활동을 통해 작전 규모가 드러났습니다.
에코크립이 사용한 디스코드 인프라 분석 결과, 명령 트래픽이 최소 2024년 3월 21일까지 거슬러 올라가는 것으로 나타났습니다. 연구원들은 악성 디스코드 기반 C2 환경을 통해 전송된 433개의 메시지를 확인했으며, 이는 50개 이상의 대상에 영향을 미쳤습니다.
정확한 최초 접근 경로는 아직 밝혀지지 않았지만, 조사 결과 웹웜 운영자들은 dirsearch 및 nuclei와 같은 오픈 소스 정찰 및 공격 도구를 적극적으로 사용하는 것으로 나타났습니다. 이러한 유틸리티는 웹 서버 디렉터리를 무차별 대입 공격하고, 노출된 파일을 식별하며, 악용 가능한 취약점을 검색하는 데 사용됩니다.
웹웜과 우주 해적을 연결하는 증거는 미약합니다.
일부 운영상의 유사점에도 불구하고, 연구원들은 웹웜과 스페이스 파이럿츠 클러스터 간의 연관성이 아직 확정적이지 않다고 경고합니다. 현재까지의 유사점은 주로 공개적으로 사용 가능한 원격 접속 트로이목마(RAT) 사용 및 공통된 도구 패턴에 국한되어 있으며, 두 위협 집단 간의 명확한 연관성을 입증할 만한 충분한 증거가 부족합니다.
