중국, 필리핀 국방 조직 겨냥해 새 파일레스 멀웨어 사용
- 에그스트림이라는 새 모듈형 멀웨어
- 일부가 디스크에 남긴 하나 실행은 전부 메모리에서
- 필리핀이 수년 동안 노출돼...남중국해 갈등 여파
새로운 멀웨어가 발견됐다. 이를 처음 세상에 알린 보안 업체 비트디펜더는 해당 멀웨어에 에그스트림(EggStreme)이라는 이름을 붙였다. 중국 APT 조직들이 아시아와 태평양 지역의 군사 및 국방 조직을 감시하는 데 이 에그스트림이 사용되고 있다고 한다. 특히 중국과 대립각을 강하게 세우고 있는 필리핀에서 피해가 발견되고 있는 것으로 분석됐다.
감염은 여러 단계에 걸쳐 진행된다.
1) 에그스트림퓨얼(EggStremeFuel)이라는 이름의 1단계 로더가 시스템에 침투한다.
2) 에그스트림퓨얼은 이후에 들어올 위협들을 위해 준비 작업을 실시한다.
3) 그 다음에는 에그스트림에이전트(EggStremeAgent)라는 백도어를 유포한다.
4) 에그스트림에이전트는 정보 수집, 데이터 탈취, 파일 조작 및 삭제 등의 기능을 가지고 있다.
에그스트림의 가장 큰 특징은 ‘파일레스 멀웨어’라는 것이다. 다만 그것은 멀웨어의 코어(핵심 요소)에 해당하는 얘기고, 각 기능을 수행하는 모듈은 암호화 되어 디스크에 작성된다. “그렇다고 디스크에서 모듈들이 실행되는 건 아닙니다. 전부 메모리 내에서만 실행됩니다. 때문에 탐지가 어렵습니다. 그런데다가 DLL 사이드로딩 기법으로 추가 요소들이 발동되니 탐지는 더더욱 어렵게 됩니다.”
여러 모듈 중 가장 중요한 건 백도어 공격을 실시하는 에그스트림에이전트라고 할 수 있다. 이 모듈은 58개의 명령을 지원한다. 주로 데이터 수집, 파일 조작, 명령 실행, 추가 페이로드 다운로드 및 실행 등으로 구성돼 있다. 사용자가 새로운 세션을 시작할 때마다 explorer.exe에 키로거를 주입해 클립보드를 모니터링 하기도 한다.
백도어가 58개의 명령을 수행한다고 하면 대략 평균 수준이다. 아주 단순한 백도어는 20개 미만, 중간급 백도어는 60개 미만, 고급 백도어는 200개 이상 정도 지원하는 것으로 통상 알려져 있다. 다만 어떤 종류의 백도어든 피해자 시스템 정보를 수집하고 파일을 조작하고 키로깅과 스크린샷을 확보하고 추가 명령이나 페이로드를 받아 실행/설치하는 기능을 가지고 있긴 하다.
또 하나 흥미로운 점은 이 백도어의 C&C 서버이다. 구글 원격 프로시저 호출(Google Remote Procedure Call, gRPC) 채널을 통해 원격의 서버와 통신을 주고받기 때문이다. gRPC는 암호화 된 채널을 사용해 통신을 이뤄가기 때문에 악성 트래픽을 숨길 수 있는데다가, 구글의 정상 서비스인 척 위장할 수도 있게 해 준다. 이는 구글 등 유명 IT 업체의 서비스를 공격에 악용하는 공격자들의 의도와 궤를 같이 한다.
에그스트림이 유포하는 모듈은 백도어만이 아니다. 에그스트림위저드(EggStremeWizard)라는 것도 있다. 일종의 백도어인 건 마찬가지인데, 보다 가볍다. 에그스트림에이전트와 달리 피해자 정보가 아니라 공격자들이 확보해둔 접근 권한을 주로 백업한다. 공격자들은 스토우어웨이(Stowaway)라는 프록시 도구와 에그스트림위저드를 결합해 사용하는데, 이렇게 했을 때 공격자는 피해자의 망 내에서 트래픽을 라우팅할 수 있게 된다. 이를 잘 이용하면 분리된 망을 극복할 수 있고, 방화벽 규칙도 우회할 수 있게 된다.
중국계 보안 연구자가 2019년 깃허브에 공개한 오픈소스 도구다. 망 내부에서 피벗(pivot) 활동을 보다 용이하게 해 주는 기능을 가지고 있는, 레드팀 도구다. 즉 합법적인 모의 해킹을 위해 만들어진 건데, 이제는 공격자들이 더 많이 쓴다. 이런 류의 도구 중 대표적인 건 코발트스트라이크(Cobalt Strike)다.
이 캠페인은 현재까지도 진행되고 있다고 비트디펜더는 경고한다. “특히 필리핀이 이 공격을 오랜 기간 받아온 것으로 보입니다. 남중국해를 둘러싼 두 나라의 갈등이 적잖이 작용한 것으로 추정됩니다. 사실 에그스트림이 아니더라도 필리핀은 지속적으로 해킹 공격에 노출되어 왔습니다. 어쩌면 더한 뭔가가 숨겨져 있을 수도 있습니다.”
Related Materials
- Chinese APT Actor Compromises Military Firm with Novel Fileless Malware Toolset - Infosecurity Magazine: 필리핀 육군 업체 침투 사례, EggStreme 프레임워크 분석, 파일리스·DLL 사이드로딩·키로깅·장기적 정찰 전략 중심, 2025년
- Chinese APT Deploys EggStreme Fileless Malware to Breach Philippine Military Systems - The Hacker News: 중국 지원 APT의 EggStreme 공격, 무기기업 침투와 메모리 상 악성코드, 장기 생존성·지리적 타깃팅 중심 분석, 2025년
- EggStreme Malware: Unpacking a New APT Framework Targeting the Philippines - Bitdefender: 단일 조직 침투, EggStreme 구성요소 상세(로더·키로거·백도어), 지속적 정찰 및 간접적 중국 연계성 기술 보고서, 2025년
- EggStreme malware targets Philippine military in Chinese cyber campaign - SecurityBrief Asia: APAC 전역의 군/정부기관 타깃, 파일리스·메모리 상 실행·지속성·복수 컴포넌트 분석 포함, 전략적 APT 전술 상세, 2025년
문가용 기자
문가용 기자
