HoneyMyte APT, CoolClient 백도어 기능 확장… 클립보드·브라우저·프록시 정보까지 노린 정교한 정보 탈취 캠페인
카스퍼스키(지사장 이효은)는 자사 글로벌 연구 분석팀(GReAT)이 동남아시아의 정부 및 외교 기관에서 민감한 정치 및 전략 정보를 탈취하는 것으로 알려진 ‘허니마이트(HoneyMyte)’ APT가 쿨클라이언트 백도어(CoolClient backdoor)에 새로운 기능을 추가하고, 브라우저 로그인 데이터 탈취기의 여러 변종을 배포했으며, 데이터 탈취 및 정찰을 위한 다수의 스크립트를 사용한 사실을 발견했다. 이번 APT의 최신 캠페인은 미얀마, 몽골, 말레이시아, 태국, 러시아를 대상으로 했으며, 특히 정부 부문에 초점을 맞췄다.
카스퍼스키에 따르면 HoneyMyte는 기존 ‘쿨클라이언트(CoolClient)’ 백도어에 새로운 기능을 추가해 클립보드 데이터, 활성 창 정보, 브라우저 로그인 정보, HTTP 프록시 자격 증명 등 민감 정보를 광범위하게 탈취하는 방향으로 공격 수법을 고도화했다. 이번 캠페인은 미얀마, 몽골, 말레이시아, 태국, 러시아를 주요 타깃으로 하며, 특히 정부 부문에 집중됐다.
연구진은 HoneyMyte가 PlugX, LuminousMoth 등 다른 악성코드와 함께 CoolClient를 보조 백도어 형태로 배포하고 있으며, 주로 DLL 사이드로딩 기법을 활용한다고 설명했다. 이는 정상적으로 디지털 서명된 실행 파일을 악용해 악성 DLL을 로드하는 방식으로, 탐지를 회피하는 데 효과적인 것으로 알려져 있다.
최신 CoolClient 변종에는 클립보드 모니터링과 활성 창 추적 기능이 추가돼, 공격자가 사용자의 실제 활동 맥락까지 파악할 수 있다. 또한 네트워크 트래픽에서 HTTP 프록시 자격 증명을 추출하는 기능도 새롭게 관찰됐다. 연구진은 다수의 플러그인이 실제 운영되고 있는 점을 확인해, 해당 백도어가 확장 가능한 구조로 설계됐음을 밝혔다.
카스퍼스키 파리드 라지 GReAT 보안 연구원은 “키로깅, 클립보드 모니터링, 프록시 자격 증명 탈취, 문서 유출, 브라우저 자격 증명 수확, 대규모 파일 탈취와 같은 기능을 갖춘 현재의 공격 환경에서, 능동적 감시는 이제 APT 플레이북의 표준 전술이 되었다”라며, “이는 데이터 유출이나 지속성과 같은 전통적인 위협과 동일한 수준의 대비와 선제적 방어를 요구한다”라고 말했다.
이효은 카스퍼스키 한국지사장은 “한국에서는 HoneyMyte APT와 같은 그룹들이 공격 방식을 지속적으로 진화시키며 사이버 위협 환경이 점점 더 복잡해지고 있다”라며, “CoolClient 백도어는 다차원적인 데이터 탈취와 모니터링을 가능하게 하는 다양한 기능을 추가했다”고 밝혔다. 이어, “기업들은 이러한 APT에 대응하기 위해 Kaspersky Next 제품군, 관리형 보안 서비스, 위협 인텔리전스를 활용해 종합적이고 선제적인 방어 체계를 구축해야 한다”라고 강조했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
