IPany 웹사이트 (출처: IPany)

악성 설치 프로그램을 다운로드할 수 있는 IPany 웹 페이지 (출처: ESET)

PlushDaemon, 한국 IPany VPN 표적 삼다 

PlushDaemon은 최소 2019년부터 활동해 온 중국과 연계된 APT 그룹으로 주로 중국, 대만, 홍콩, 한국, 미국, 뉴질랜드의 개인 및 기관을 대상으로 사이버 스파이 활동을 수행하여 왔습니다. 

2023년, PlushDaemon은 한국의 VPN 소프트웨어 IPany의 설치 프로그램을 악성코드로 교체하는 공급망 공격을 수행하였습니다. 사용자가 공식 웹사이트에서 VPN을 다운로드하는 과정에서 감염되었으며 설치 프로그램 내부의 악성코드가 실행되었습니다. 

이 악성 설치 프로그램은 정상적인 VPN과 함께 SlowStepper 백도어를 설치 하여 공격자가 피해자의 시스템에 원격 접근할 수 있도록 하였습니다. 이 공격으로 한국의 반도체 기업 및 소프트웨어 개발 회사에서 감염 사례가 확인되었으며 일본과 중국에서도 피해자가 보고되었습니다.

정상 파일과 악성 파일 배포 (출처: ESET)

SlowStepper의 pycall 셸 명령을 통한 도구 실행 (출처: ESET)

맞춤형 멀웨어 ‘SlowStepper’ 

SlowStepper는 C++, Python, Go로 작성된 다기능 백도어로 약 30개의 모듈로 구성되어 있습니다. 이 백도어는 감염된 시스템에서 다양한 스파이 활동을 수행할 수 있도록 설계되었으며 모듈식 구조로 인해 기능을 확장하거나 변형하기 용이합니다. 

SlowStepper는 감염된 시스템에서 시스템 정보를 수집하고 추가적인 악성코드를 다운로드하여 실행할 수 있습니다. 또한, 파일 시스템을 열람하고 Python 기반의 스파이웨어 모듈을 실행하며 공격자의 명령을 수행하는 기능을 갖추고 있습니다. 뿐만 아니라 특정 파일을 삭제하거나 감염 흔적을 제거하기 위한 자가 삭제 기능도 포함되어 있습니다. 

이 백도어는 주로 DNS 쿼리를 이용한 C&C(Command and Control) 통신 기법을 통해 공격자의 명령을 수신하고 데이터를 전송합니다. 이를 통해 보안 솔루션을 우회할 수 있으며 정기적으로 공격자와 연결하여 명령을 수신할 수 있습니다. 

결론  

PlushDaemon의 이번 공급망 공격은 VPN 소프트웨어의 신뢰성을 악용하여 악성코드를 배포한 대표적인 사례입니다. 특히, 사용자가 공식 웹사이트에서 소프트웨어를 다운로드하는 과정에서 감염되었기 때문에 기존의 보안 지침만으로는 방어하기 어려운 심각한 보안 위협이 되었습니다. 

SlowStepper 백도어는 정교한 설계와 모듈식 구조를 통해 장기간 피해자의 네트워크를 감시하고 정보를 수집할 수 있으며 DNS 기반 C&C 통신 방식을 사용해 보안 솔루션을 우회할 가능성이 높습니다. 이러한 특성으로 인해 일반적인 네트워크 모니터링만으로 탐지하기 어려운 강력한 위협이 됩니다. 

이러한 공급망 공격과 백도어 위협에 대응하기 위해서는 소프트웨어 공급망의 무결성을 보장하는 보안 조치가 필수적입니다. 기업과 보안 연구 기관은 APT 그룹의 동향을 지속적으로 추적하고 최신 공격 기법을 분석하여 사전 방어 전략을 수립해야 합니다. 또한, 소프트웨어 코드 서명 검증, 침입 탐지 시스템(IDS) 활용, 네트워크 모니터링 강화 등을 통해 보안 대응 체계를 구축하는 것이 중요합니다.