중국계 Lotus Blossom APT 그룹, Sagerunex 백도어로 아시아 지역 다중 산업 타깃

Chinese Lotus Blossom APT targets multiple sectors with Sagerunex backdoor

Chinese Lotus Blossom APT targets multiple sectors with Sagerunex backdoor

 

• 공격 개요
  • Lotus Blossom APT 그룹(다른 명칭: Elise, Esile)은 최소 2012년부터 활동 중인 중국 연계 사이버 첩보 조직
  • 최근 필리핀, 베트남, 홍콩, 대만의 정부, 통신, 미디어, 제조 분야를 겨냥해 Sagerunex 백도어를 활용한 공격 캠페인 수행
  • Sagerunex는 Billbug의 Evora RAT에서 발전된 DLL 인젝션 방식의 원격 제어 도구로 분류됨
• Sagerunex 백도어 특징
  • 다양한 네트워크 기법으로 지속적인 C2 제어 유지
  • 기존에는 VPS 기반의 C2 방식 사용, 최근에는 Dropbox, Twitter, Zimbra 등 클라우드 기반 C2 전략으로 전환
  • 공통 기능: 호스트 정보 수집, 암호화, 원격 서버 전송, 메모리 내 악성코드 인젝션 및 암호화 처리
  • VMProtect 기술을 통한 코드 난독화로 안티바이러스 탐지 회피
• 주요 백도어 변종 및 기능
  • Dropbox 기반 베타 변종: 디버깅 문자열 포함, Dropbox API로 C2 통신 수행
  • Dropbox + Twitter 병용 변종: 트위터 계정을 통한 명령 수신 및 데이터 송신
  • Zimbra 기반 변종: 웹메일 API 활용, 초안 이메일 형태로 탈취 데이터 은폐 및 유출
  • 모든 변종 공통적으로 시간 기반 지연, 시스템 체크, 파일 경로 식별을 통한 탐지 회피 기능 내장
• 침투 수단 및 악성 도구
  • 초기 침투 벡터는 불확실하나, 기존 캠페인에서 스피어피싱 및 워터링 홀 공격 기법 사용
  • 탐지 회피 및 권한 상승, 데이터 탈취를 위한 커스텀 도구 활용
    • Chrome 쿠키 스틸러: PyInstaller로 번들된 크롬 브라우저 자격 증명 탈취
    • Venom 프록시 도구: 하드코딩된 IP를 통한 트래픽 릴레이
    • Privilege Adjuster: 프로세스 토큰 확보 및 권한 상승
    • 아카이빙 도구: 브라우저 데이터 포함 파일 압축 및 보호
    • 포트 릴레이 도구: mtrain V1.01 기반 프록시 릴레이 도구
    • RAR 도구: 파일 압축 및 유출 전처리용
• 분석 결과
  • Sagerunex는 2016년부터 활동한 것으로 보이며, 변종별 활동 시기는 2018~2022년으로 확인됨
  • 일관된 표적(정부, 제조, 통신, 미디어) 및 전술을 통해 Lotus Blossom의 소행으로 귀속 가능
  • 공격자는 클라우드 기반 C2 채널을 통한 은폐에 중점을 두며, 장기적인 침투 및 정찰을 목표로 함
  • 피해 조직은 클라우드 서비스 접근 제어 강화 및 이메일/파일 기반 행위 탐지 체계를 강화할 필요 있음
• 결론
  • Lotus Blossom 그룹은 아시아 지역 주요 산업 및 정부를 장기적으로 노리는 고도화된 APT 조직으로, 클라우드 서비스 기반 C2 기술을 적극 활용하고 있음
  • 조직은 클라우드 및 이메일 서비스에 대한 비정상적 사용 탐지, 스피어피싱 대응, 백도어 행위 기반 탐지 전략 수립이 필수
  • 관련 IOCs 기반 위협 사전 탐지 및 위협 사냥 활동을 통한 선제 대응이 요구됨