중국 해커, GeoServer 취약점 악용하여 아시아 태평양 국가들을 타깃으로 한 EAGLEDOOR 악성코드 공격
최근 중국에서 발생한 고급 지속 위협(Advanced Persistent Threat, APT) 활동이 아시아 태평양(APAC) 지역의 정부 기관과 통신업체, 에너지 산업을 목표로 하고 있다는 보고가 나왔습니다. 이 공격은 Trend Micro의 연구 결과에 기반하며, GeoServer GeoTools의 심각한 보안 결함을 악용하여 이루어졌습니다.
APT Earth Baxia의 등장
Threat actor로 지목된 ‘Earth Baxia’는 주로 필리핀, 한국, 베트남, 대만, 태국 등의 정부 기관과 관련된 기업들을 겨냥하고 있으며, 해당 악성코드는 지능형 피싱 이메일과 함께 GeoServer 취약점을 악용하여 배포되고 있습니다. 이로써 Cobalt Strike와 이전에 알려지지 않은 EAGLEDOOR라는 백도어 악성코드가 전달됩니다.
공격 방식 및 기술
이 공격은 다단계 감염 체계로 구성되어 있으며, 피싱 이메일과 GeoServer 취약점(CVE-2024-36401)을 활용해 악성 코드를 전달합니다. 이 과정에서 ‘GrimResource’ 및 ‘AppDomainManager’ 주입 기법이 사용되어 추가 페이로드가 다운로드되며, 사용자로 하여금 위험을 간과하도록 유도합니다.
EAGLEDOOR의 기능
EAGLEDOOR는 다양한 방법으로 C2(커맨드 & 컨트롤) 서버와 통신하며, 데이터 수집 및 추가 페이로드 전송을 지원합니다. 사용자 피해자는 Telegram Bot API를 통해 파일을 업로드하고 다운로드할 수 있으며, 수집된 데이터는 ‘curl.exe’를 통해 유출됩니다.
글로벌 사이버 위험 동향
이러한 공격은 특히 아시아 태평양 지역의 사이버 공격이 늘어나는 추세를 반영합니다. 일본의 NTT Security도 유사한 기법을 사용한 APT41과 관련된 활동을 밝혔으며, 이들이 필리핀 군, 에너지 조직 등을 겨냥하고 있음을 시사합니다.
결론
Earth Baxia의 공격은 기민하고 정교한 전략을 통해 공공 부문을 타겟으로 하였습니다. 이들은 결국 데이터를 침해하고 유출하기 위해 여러 기법을 사용하고 있으며, 정부 및 기업은 이를 방지하기 위해 선제적인 보안 대책을 마련해야 할 것입니다.
핵심 키워드
- APT (고급 지속 위협): 고도로 조직화된 사이버 공격으로 특정 목표를 지속적으로 공격하는 유형의 위협입니다.
- GeoServer: 오픈 소스 소프트웨어로, 공간 데이터를 웹 서비스 형태로 제공하는 데 사용됩니다. 이는 다양한 업종에서 지리적 정보 시스템(GIS)으로 활용됩니다.
- EAGLEDOOR: 공격자가 사용하는 특정 백도어의 코드명으로, 데이터 수집 및 침투 작업을 수행합니다.
- Cobalt Strike: 해킹 도구로, 공격자가 시스템에 침투하기 위해 사용하는 다목적 플랫폼입니다.
사이버 보안의 중요성이 날로 높아짐에 따라 이러한 공격 기법에 대한 인식을 제고하고, 보안 대책을 강화하는 것이 필수적입니다.