중국 해커, GeoServer 취약점 이용해 APAC 국가 대상으로 EAGLEDOOR 악성코드 공격

Chinese Hackers Exploit GeoServer Flaw to Target APAC Nations with EAGLEDOOR Malware

Chinese Hackers Exploit GeoServer Flaw to Target APAC Nations with EAGLEDOOR Malware

 

• 배경
  • 중국발 APT(지능형 지속 위협) 그룹인 Earth Baxia가 대만 정부 조직을 포함한 아시아-태평양(APAC) 지역의 정부와 에너지 산업을 대상으로 GeoServer 취약점(CVE-2024-36401) 을 이용한 공격을 수행
  • 스피어피싱 이메일과 GeoServer의 취약점을 이용한 다단계 감염 프로세스를 통해 Cobalt Strike와 EAGLEDOOR 백도어 악성코드를 배포
• 공격 방법
  • 스피어피싱 공격
    • 공격자들은 정부 기관 및 에너지 산업을 대상으로 스피어피싱 이메일을 사용하여 악성 링크를 전달
  • GeoServer 취약점(CVE-2024-36401, CVSS 점수: 9.8)
    • 공격자들이 GeoServer의 보안 취약점을 통해 네트워크에 침투, Cobalt Strike와 EAGLEDOOR 백도어를 배포
• 주요 타깃 및 피해 범위
  • 대만, 필리핀, 한국, 베트남, 태국 등의 정부 기관, 통신사, 에너지 산업이 주요 표적
  • 마르코폴로(Marko Polo) 라는 공격자 그룹이 사칭한 기관은 유명 게임 개발사, 암호화폐 거래소, 생산성 앱 등 다양
• 악성코드 종류
  • Cobalt Strike
    • 공격자가 원격 제어할 수 있는 C2(Command and Control) 인프라로 사용되며, 추가적인 악성코드 배포의 기반으로 작용
  • EAGLEDOOR
    • Eagle.dll로 불리는 백도어로 정보 수집 및 파일 업로드/다운로드 등 다양한 명령 실행 가능
    • DNS, HTTP, TCP, Telegram을 통해 C2 서버와 통신하며, 특히 Telegram Bot API를 통해 데이터를 전송
• 공격 기술
  • GrimResource 및 AppDomainManager 주입 기법
    • 악성코드가 피해자의 방어를 우회하여 추가 페이로드를 다운로드할 수 있게 함
  • ZIP 파일 안의 MSC 파일(RIPCOY) 형태로 악성코드를 전달
• 공격의 목표
  • Cobalt Strike의 맞춤형 변종을 사용하여 EAGLEDOOR 백도어를 배포하고, 이를 통해 정보 탈취 및 추가 페이로드 실행
  • 공격자는 퍼블릭 클라우드 서비스(AWS, Microsoft Azure) 를 악성 파일 호스팅에 활용하여 탐지를 어렵게 만듬
• 관련 위협 그룹
  • 이번 공격은 APT41과의 연관성도 제기됨
  • Cobalt Strike C2 도메인이 AWS와 Azure를 모방한 도메인을 사용하여 동일한 전술을 구사
• 대응 방안
  • GeoServer 및 관련 소프트웨어의 최신 보안 패치 적용 필수
  • 스피어피싱 이메일에 대한 철저한 모니터링과 교육을 통해 사용자 인식 제고
  • 다중인증(MFA) 및 클라우드 보안 강화로 외부 위협에 대한 방어력을 높여야 함