China-Linked MirrorFace Deploys ANEL and AsyncRAT in New Cyber Espionage Operation
- 공격 개요
- MirrorFace는 중국 연계 APT 그룹으로, 일본을 주요 표적으로 삼아 활동해왔으며, 이번에는 유럽 내 외교기관을 대상으로 스피어 피싱을 활용한 공격 수행
- 2024년 8월 말, 오사카 월드엑스포 관련 문서를 미끼로 한 ‘Operation AkaiRyū(赤い龍 작전)’에서 확인됨
- 과거 사용하던 LODEINFO 대신 중단된 것으로 알려졌던 백도어 ANEL(aka UPPERCUT)을 재사용
- 악성코드 구성
- ANEL: APT10 계열에서 2018년까지 사용되던 백도어로, 이번 작전에서 DLL 사이드로딩 기법을 통해 ANELLDR 로더가 ANEL을 로드하는 구조로 동작
- AsyncRAT: 정식 툴을 커스터마이징한 형태로 사용되었으며, 원격 명령 실행 및 정보 탈취에 악용
- HiddenFace(aka NOOPDOOR): MirrorFace 전용으로 알려진 백도어, 상황에 따라 모듈형으로 활용 가능
- 침투 기법 및 전술
- 스피어피싱 메일을 통해 워드 문서 또는 악성 링크를 전달
- Visual Studio Code Remote Tunnels를 통한 C2 접속 경로 은폐
- Windows Sandbox 환경 내 악성코드 실행을 통해 분석 회피
- 로그 삭제 및 툴 제거 등 철저한 흔적 제거로 포렌식 분석 차단
- 공격 확장성
- 일본 경찰청(NPA) 및 일본 사이버보안전략센터(NCSC)가 2024년 6월부터 확인한 ‘Campaign C’와 작전 중첩됨
- MirrorFace는 학계, 미디어, 정치인, 싱크탱크까지 폭넓은 타깃 설정
- 결론
- MirrorFace의 전술 전환은 작전 은폐성과 지속성을 크게 강화하고 있으며, LODEINFO에서 ANEL로의 회귀는 무기화 자산의 재활용 전략 가능성 시사
- VS Code Remote Tunnel과 같은 비정형 도구 악용은 기존 탐지 체계를 회피하려는 시도로, 보안 솔루션 탐지 범위 확대 필요
- 외교기관, 싱크탱크, 언론 등 고위험 조직 대상 모의피싱 방어와 행위 기반 탐지 체계 고도화가 요구됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| BitM 공격 기법 분석, 브라우저 세션 탈취를 통한 고속 인증 우회 위협 (0) | 2025.05.01 |
|---|---|
| Bybit 해킹 사건, 다단계 공격과 라자루스의 정밀 작전 분석 (0) | 2025.05.01 |
| 구글, 오픈소스 취약점 스캐너 OSV-Scanner V2.0.0 대규모 업데이트 발표 (0) | 2025.05.01 |
| ZDI-CAN-25373, 윈도우 .lnk 파일 UI 위조 취약점 악용 APT 캠페인 분석 (0) | 2025.05.01 |
| VenomRAT 악성코드 유포에 악용된 VHD 이미지 파일 기반 피싱 캠페인 분석 (0) | 2025.05.01 |