단순 감염 넘어 지속적인 백도어 유지하며 기밀 정보 싹쓸이
보안 제품 기능 무력화하는 자가 방어 로직 탑재해 탐지 난이도↑

[보안뉴스 김형근 기자] 중국어권 해킹 조직 ‘실버 폭스’(Silver Fox)가 유명 소프트웨어 브랜드를 사칭한 가짜 도메인을 앞세워 신종 악성코드 ‘아틀라스크로스 RAT’(AtlasCross RAT)를 아시아 전역에 유포하고 있다.


독일 사이버보안 기업 헥사스트라이크는 지난주 발표한 보고서에서 이들은 치밀하게 설계된 대규모 캠페인을 통해 기업 엔드포인트 보안 시스템을 무력화하며, 금전 탈취와 전략적 첩보 활동을 병행하고 있다고 전했다.

이번 캠페인의 핵심인 ‘아틀라스크로스 RAT’은 기존 밸리RAT(ValleyRAT) 계열에서 진화한 형태다. 실버폭스는 줌(Zoom), 텔레그램(Telegram), MS 팀즈(MS Teams) 등 11개 이상의 유명 브랜드를 사칭해 사용자를 기만하고 있으며, 가짜 도메인은 지난해 10월 27일 하루에 집중적으로 등록됐다. 이는 이번 공격이 사전에 치밀하게 계획된 공격으로 모든 악성 패키지에 베트남 법인 명의로 도난당한 EV 코드 서명 인증서를 공유해 보안 검사를 교묘히 우회하는 치밀함을 보였다.

아틀라스크로스 RAT은 윈도우 기본 도구와 이름이 유사한 ‘파워첼’(PowerChell) 프레임워크를 내장해 보안 감시 체계인 AMSI(안티멀웨어 스캔 인터페이스)와 ETW(윈도우 이벤트 트래킹)를 무력화한다. 설치 과정에서 정상 앱과 함께 RAT 파일을 심은 뒤, 중국 메신저 위챗(WeChat)에 기생해 정보를 유출하고 원격 접속 권한을 가로챈다. 최근 일본 제조사를 대상으로 급여 조정이나 주식 옵션 등을 미끼로 한 스피어피싱을 전개, 공격 범위를 확장하고 있다.

전문가들은 실버폭스가 수익 목적의 캠페인과 고도화된 군사 작전을 동시에 진행하는 ‘이중 궤도’ 모델을 유지하며 아시아권 보안을 위협하고 있다고 경고했다. 또, 유명 브랜드를 사칭한 유사 도메인 접속을 차단하고, 인증서 기반의 보안 예외 정책을 재검토해야 한다고 조언했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>