본문으로 건너뛰기
J
피드

무스탕판다, 조호 워크드라이브로 인도 정부 침투…정상 클라우드 트래픽에 악성코드 숨김

security 약 6분
tags
#mustang-panda#malware#cloud#phishing#websocket
vote
0
댓글
북마크

중국 연계 해킹 조직 무스탕판다가 인도 정부 기관과 수력발전 분야를 겨냥해 새 사이버 첩보 작전을 수행한 정황이 확인됐다. 공격자는 조호 워크드라이브를 지휘통제 채널로 악용했고, 샤드로더·미니리콘·조호머크 등 신규 악성코드 3종을 사용했다.

  • 1

    조호 워크드라이브를 지휘통제 채널로 사용해 악성 통신을 업무 트래픽처럼 위장함

  • 2

    샤드로더는 DLL 사이드로딩으로 실행되고 미니리콘 또는 조호머크를 설치함

  • 3

    조호머크는 하드코딩된 OAuth 인증정보로 워크드라이브 폴더에서 명령을 읽고 데이터를 업로드함

  • 4

    공격자는 인도 수력발전 정책과 인도·대만 안보 협력 정보를 노린 것으로 분석됨

  • 5

    RunOnce를 RunOnece로 잘못 쓰는 오타와 인프라 재사용이 공격자 식별 단서가 됨

정상 클라우드에 숨어든 지휘통제

  • 중국 연계 해킹 조직 무스탕판다가 인도 정부 기관과 수력발전 분야를 겨냥한 새 첩보 작전을 벌인 정황이 나옴

    • 아크로니스 위협연구팀은 인도 정부 기관 내부 시스템 침해와 고위 행정 담당자 컴퓨터 감염 사례를 확인함
    • 사고 확인 뒤 인도 침해사고대응팀과 협력해 피해 기관에 통보하고 대응을 지원했다고 밝힘

  • 이번 공격의 핵심은 조호 워크드라이브를 지휘통제 채널로 썼다는 점임

    • 조호 워크드라이브는 인도 정부와 기업에서 널리 쓰는 정상 클라우드 저장 서비스임
    • 공격자는 감염 시스템에 명령을 전달하고 탈취 정보를 외부로 보내는 통로로 이 서비스를 악용함
    • 겉으로는 평범한 클라우드 업무 트래픽처럼 보여서 네트워크 보안 장비가 의심하기 어려움

⚠️주의

> 정상 클라우드 서비스가 지휘통제 채널로 쓰이면 차단 기준이 애매해짐. 서비스 자체를 막으면 업무가 멈추고, 그냥 두면 악성 통신이 정상 트래픽에 섞여 지나갈 수 있음.

새 악성코드 3종

  • 공격에는 샤드로더, 미니리콘, 조호머크라는 신규 악성코드 3종이 쓰임

    • 샤드로더는 정상 서명 프로그램을 이용하는 DLL 사이드로딩 방식으로 실행됨
    • 한 공격에서는 솔리드 PDF 크리에이터, 다른 공격에서는 시트릭스 리시버 실행 파일이 악성 DLL 실행에 이용됨

  • 샤드로더는 이후 추가 악성코드를 설치하는 로더 역할을 함

    • 설치 대상은 미니리콘 또는 조호머크임
    • 미니리콘은 IBM 엑스포스가 과거 공개한 톤셸 백도어를 개량한 버전으로, HTTPS 기반 웹소켓 통신으로 공격자 서버와 연결을 유지함

  • 조호머크는 이번 공격에서 특히 눈에 띄는 악성코드임

    • 내부에 조호 OAuth 인증정보를 하드코딩해 공격자가 운영하는 워크드라이브 계정에 접속함
    • 특정 폴더에서 공격 명령을 읽고, 탈취 데이터를 다른 폴더에 업로드하는 방식으로 움직임
    • 클라우드 폴더가 사실상 명령함과 수거함 역할을 한 셈임
sequenceDiagram
    participant 공격자
    participant 피싱메일
    participant 감염PC
    participant 조호워크드라이브
    participant 내부자료
    공격자->>피싱메일: 맞춤형 ZIP 미끼 전달
    피싱메일->>감염PC: 숨김 DLL 실행 유도
    감염PC->>조호워크드라이브: OAuth 정보로 명령 폴더 조회
    조호워크드라이브-->>감염PC: 공격 명령 전달
    감염PC->>내부자료: 정책·협력 문서 수집
    감염PC->>조호워크드라이브: 탈취 데이터 업로드

표적과 단서

  • 공격자는 인도 수력발전 정책과 인도·대만 안보 협력 정보를 노린 것으로 분석됨

    • 두 공격 모두 ZIP 압축파일 형태로 전달됐고 악성 DLL은 숨김 속성으로 설정돼 있었음
    • 미끼 문서는 인도 수력발전 협력 제안서, 인도와 대만 기관 간 양해각서 관련 문서처럼 표적 업무에 맞춰져 있었음

  • 공격자 쪽 실수도 꽤 많이 남음

    • 악성코드 내부에 인증 토큰과 식별자가 평문으로 저장돼 있었음
    • 기존 공격에서 쓰던 서버 인프라를 재사용했고, IBM 엑스포스가 과거 무스탕판다와 연결한 서버 대역도 다시 확인됨
    • 여러 악성코드에서 RunOnce를 RunOnece로 잘못 쓰는 동일한 오타가 반복됨

  • 실제 악성코드 외부 통신은 6월 12일부터 22일까지 확인됨

    • 무스탕판다는 최근 인도를 계속 겨냥하고 있고, 지난 4월에는 인도 금융권과 한국 정책기관을 대상으로 로터스라이트 백도어 공격도 확인된 바 있음
    • 당시에도 정상 클라우드 서비스를 이용해 악성 통신을 숨기는 기법이 쓰였음

기술 맥락

  • 이번 공격에서 중요한 선택은 별도 악성 서버를 세우는 대신 조호 워크드라이브를 통신 경로로 쓴 거예요. 보안 장비는 보통 알려진 악성 도메인이나 수상한 서버 통신을 잡는 데 강한데, 정상 SaaS 트래픽 안에 명령과 탈취 데이터가 섞이면 판단이 훨씬 어려워져요.

  • DLL 사이드로딩도 같은 맥락이에요. 처음부터 낯선 실행 파일을 띄우면 걸릴 확률이 높으니, 정상 서명 프로그램을 앞세우고 옆에 악성 DLL을 붙여 실행 흐름을 빼앗는 방식이에요.

  • 조호머크가 OAuth 정보를 하드코딩했다는 점은 운영 편의성과 노출 위험을 동시에 보여줘요. 공격자 입장에서는 감염된 PC가 바로 클라우드 계정에 붙을 수 있어 편하지만, 분석가가 샘플을 확보하면 토큰과 계정 흔적이 공격자 식별 단서가 돼요.

  • 방어 쪽에서는 클라우드 서비스 허용 여부만 볼 게 아니라, 사용 계정·폴더 접근 패턴·업로드 주기·비정상 OAuth 사용을 같이 봐야 해요. 정상 서비스라도 업무 맥락과 다른 자동화 접근이 반복되면 공격 신호일 수 있거든요.

정상 클라우드 서비스를 지휘통제 채널로 쓰는 공격은 보안 장비 입장에서 점점 골치 아파지고 있음. 한국 정책기관도 과거 유사 캠페인 표적에 들어간 만큼, 이건 남의 나라 첩보 뉴스로만 볼 일이 아니다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

세온이앤에스, 임베디드 코드까지 파고드는 실시간 보안 분석 솔루션 출시

세온이앤에스가 C/C++ 기반 임베디드 소프트웨어의 오픈소스 구성 요소를 분석해 소프트웨어 자재명세서와 취약점 리포트를 자동 생성하는 ‘Seon Code Analyzer’를 출시했다. 패키지 매니페스트만 보는 방식이 아니라 소스코드에 복사·이식된 오픈소스까지 추적한다는 점을 내세운다.

security

중국 오픈소스 프레임워크 유니앱, 투자 사기 사이트 20만 개에 악용

중국에서 널리 쓰이는 크로스 플랫폼 프레임워크 유니앱이 20만 개 이상의 투자 사기 사이트 템플릿에 악용된 정황이 나왔다. 정상 개발 도구 자체가 문제라기보다, 같은 프레임워크와 템플릿을 기반으로 사기 인프라가 대량 복제되고 있다는 점이 핵심이다.

security

정부, 딥페이크·AI 금융사기 잡는 10개 부처 합동 대응체계 가동

방송미디어통신위원회가 2026년 6월 26일 AI 범죄 대응 범부처 협의체 킥오프 회의를 열었음. 딥페이크 성착취, AI 허위광고, AI 금융사기 같은 악용 사례가 늘면서 10개 부처가 예방부터 피해회복까지 묶어서 대응하는 구조를 논의한 게 핵심임.

security

연령 인증은 결국 ‘익명 발언 추적’으로 가는 길이라는 주장

미국 여러 주, 유럽 국가, 호주에서 추진되는 연령 인증 규제가 단순히 미성년자 보호 장치가 아니라 온라인 계정과 현실 신원을 묶는 인프라가 될 수 있다는 비판 글이다. 글쓴이는 신원 확인이 충분히 보급되면 정부가 불편한 발언을 한 사람을 더 빠르게, 심지어 자동으로 특정할 수 있다고 본다.

security

아마존 Q 개발자 확장에 고위험 취약점, 악성 저장소만 열어도 클라우드 키 털릴 뻔

보안기업 위즈가 아마존 Q 디벨로퍼 확장 프로그램에서 개발자의 클라우드 자격 증명과 API 키가 유출될 수 있는 심각한 취약점을 발견했다. 악성 저장소를 열고 아마존 Q를 활성화하면 설정 파일 자동 실행, 쉘 생성, 환경 상속이 맞물려 민감 정보가 외부로 빠져나갈 수 있는 구조였다.