FIN7의 Python 기반 Anubis 백도어 분석 및 보안 위협 평가

FIN7 Deploys Anubis Backdoor to Hijack Windows Systems via Compromised SharePoint Sites

 

New advanced FIN7's Anubis backdoor allows to gain full system control on Windows

New advanced FIN7's Anubis backdoor allows to gain full system control on Windows

 

• 침해 사고 개요
  • 사이버 범죄 조직 FIN7(일명 Savage Ladybug, Carbanak)이 Windows 시스템을 목표로 한 Python 기반 백도어인 Anubis를 개발 및 유포
  • Anubis는 일반적인 안드로이드 악성코드가 아닌, Windows 플랫폼용 악성 백도어이며, 침해 시스템에 대한 완전한 원격 제어 기능을 제공
  • 감염 경로는 피싱 이메일(malspam)과 악성 SharePoint 사이트 활용
• 배포 및 초기 감염 경로
  • ZIP 압축파일 형식으로 유포되며, 내부에 Python 스크립트와 실행 파일이 포함됨
  • 사용자는 ZIP 내부 Python 스크립트를 실행하게 유도되며, 이 스크립트는 메모리 상에서 암호화된 페이로드를 복호화 및 실행
  • SharePoint 서버가 해킹되어 Anubis 페이로드 유포지로 활용됨
• 기술적 특성 및 동작 방식
  • AES-CBC + Base64 방식으로 암호화된 명령/제어(C2) 통신을 수행
  • C2 서버로 프로세스 ID, 로컬 IP 전송. IP 확인은 Google DNS(8.8.8.8)로 가상의 UDP 소켓 생성하여 시스템의 실제 IP 확인
  • C2 명령 수신 후 아래 작업 수행 가능
    • 원격 쉘 명령 실행 (subprocess.Popen)
    • DLL 메모리 로딩(PythonMemoryModule 사용)
    • 파일 업로드/다운로드
    • 레지스트리 수정
    • 키로깅, 스크린샷, 환경 변수 수집, 셸 코드 실행
  • 감염 지속성을 위해 실행 종료 명령까지 지속적으로 C2 명령을 대기
• 우회 기법 및 탐지 회피
  • 변수 이름 치환 등 PyObfuscate 유사 기법으로 간단한 난독화 적용
  • 직접적인 악성 기능(예: 키로깅 코드)은 백도어 자체에 저장하지 않고 C2를 통해 실행하도록 설계해 정적 탐지 우회
  • 위협 지표(IP, 해시 등)와 기능은 공격 상황에 따라 다르게 적용되어 정밀 탐지 어려움
• 위협 행위자 및 공격 배경
  • FIN7은 러시아 기반의 고도화된 사이버 범죄 조직으로, 2015년부터 활동
  • 과거에는 POS 시스템 해킹, 레스토랑·호텔 대상 정보 탈취 등으로 유명
  • 최근 랜섬웨어 연계 활동 강화(AuKill 툴 배포 등)
• 보안 권고
  • 피싱 이메일 필터링 강화 및 ZIP 파일 자동 실행 차단 설정
  • SharePoint 시스템에 대한 정기적 취약점 점검 및 MFA 적용
  • EDR/XDR 기반 행위 기반 탐지 로직 적용 및 메모리 상 악성 프로세스 분석 강화
  • PowerShell, Python, WMI 등 스크립트 기반 행위에 대한 통제 정책 적용
  • 조직 내 Python 실행 환경 통제 및 PyInstaller, cx_Freeze 등 패키징 탐지 룰 구성
• 결론
  • SharePoint 기반 내부 협업 시스템을 통해 악성코드 유포 가능성을 보여줌
  • 엔드포인트 백신 우회 가능성이 높고, 메모리 기반 동작으로 EDR 미탐 우려 존재
  • 악성코드가 Python 기반이기 때문에 보안 솔루션에서 실행 환경 분석 및 샌드박스 우회 가능성 존재