중국 무스탕판다, 새 백도어로 아시아 국가 괴롭혀
- 악성 드라이버로 커널에서부터 침투
- 커널에서 각종 백신과 윈도 방어 체계 무너뜨려
- 집요한 지속성이 진정한 위협...아시아 국가들이 피해 입어
중국 해킹 그룹 무스탕판다(Mustang Panda)가 새로운 백도어를 퍼트리고 있다고 보안 기업 카스퍼스키(Kaspersky)가 발표했다. 이 백도어의 이름은 톤셸(ToneShell)이라고 하며, 아직까지 한 번도 분석되거나 공개된 적이 없다. 현재까지는 미얀마와 태국을 위주로 일부 아시아 지역에서만 피해자가 발견되고 있다. 주로 정부 기관들이 공격 대상인 것으로 보인다.
공격의 흐름
공격자들이 피해자의 컴퓨터에 어떻게 침투하는지는 아직 정확히 밝혀지지 않았다. 다만 무스탕판다는 과거 여러 차례의 공격을 통해 스피어피싱 기법을 애용해 왔다고 카스퍼스키는 강조한다. “하지만 직전 캠페인에서 무스탕판다는 USB를 활용해 멀웨어를 퍼트리기도 했습니다. 그 때는 톤디스크(TONEDISK)라는 USB 웜이 이용됐는데, 이번에도 동일 웜이나 변종과 연계됐을 수 있습니다. 아니면 과거에 이미 침해한 시스템들로부터 공격을 확장시켰을 수도 있습니다.”
어떤 방법이든 최초 침투를 이뤄낸 공격자들은 제일 먼저 악성 드라이버를 심는 것으로 악성 행위를 이어갔다고 한다. “악성 드라이버의 이름은 ProjectConfiguration.sys입니다. 커널 모드 드라이버로 광저우 킹텔러 테크놀로지(Guangzhou Kingteller Technology)라는 기업의 인증서로 서명돼 있습니다. 아무래도 공격자들이 이번 공격을 위해 이 기업의 합법적인 디지털 서명을 훔쳐둔 것으로 보입니다.”
ProjectConfiguration.sys는 커널 층위에서 로딩이 된 후, 윈도 디펜더의 wdFilter.sys가 로딩되지 않도록 방해한다. 그런 다음 백신들보다 더 높은 높은 권한을 가져가 백신들과 관련된 드라이버들을 무력화시킨다. “그러면서 파일을 삭제하거나 변경하려는 시도를 차단합니다. 즉, 사용자가 이상함을 눈치채고 조치를 취하려 할 때, 그것을 방해하는 것이죠. 특정 레지스트리 키 접근을 막기도 하고, 보호된 프로세스에 대한 접근을 허용하지 않기도 합니다.” 이런 모든 과정을 통해 피해자 시스템의 보호 장치들은 대부분 무력화 된다.
하지만 이것이 공격자들의 최종 목적은 아니다. 아무런 위협이 없는 깨끗한 시스템에 백도어를 심어 원하는 정보를 빼돌리는 것이 진짜 이루고자 하는 일이다. “백신과 방어 체계를 무너뜨린 악성 드라이버 ProjectConfiguration.sys는 제일 먼저 svchost.exe라는 프로세스를 생성합니다. 이는 정상적인 윈도 프로세스라서 그 자체로 악성 행위로 보이지 않습니다. 그 다음 두 차례 셸코드를 실행함으로써 톤셸 백도어를 주입합니다. 이 과정이 전부 svchost.exe라는 프로세스 내에서 실행되기 때문에 흔적을 찾기 어렵습니다. 이른 바 ‘파일레스(fileless)’ 공격인 것입니다.”
톤셸의 기능
이렇게 다단계로 심어둔 톤셸은 어떤 기능을 가지고 있을까? 카스퍼스키의 설명에 의하면 리버스셸과 다운로더의 기능을 가진 전형적인 APT 백도어라고 한다. “TCP443을 통해 원격 서버와 통신합니다. 서버에서 내려진 명령에 따라 파일을 업로드 하거나 다운로드 할 수도 있고, 원격 셸을 생성할 수도 있습니다. 임시 파일을 만들고, 명령어를 실행할 수도 있습니다. 심지어 서버와의 연결을 종료시키고 재연결 할 수도 있습니다. 한 마디로 피해자 조직 내에 내부자 컴퓨터를 하나 심어두는 것과 마찬가지의 효과를 갖는 겁니다.”
사실 톤셸의 이러한 기능은 대단히 창의적이거나 새롭다고 하기는 힘들다. 대부분의 고급 백도어들이 비슷한 기능을 수행하기 때문이다. 하지만 카스퍼스키는 “이 캠페인에서 특히 눈에 띄는 점은 ‘지속성’이다”라고 짚는다. “피해자 시스템 내에서 미리 백신들을 마비시키고, 정상적인 프로세스 내에서만 악성 행위를 실시하며, 재부팅 후에도 드라이버가 다시 로딩되면서 공격을 이어가는 등, 탐지와 분석, 처리를 철저하게 방해하고 있어요. 반드시 숨어들어 최대한 많은 정보를 빼돌리겠다는 공격자의 의지가 엿보입니다.”
하지만 아직 피해 상황이 집계된 건 아니다. 왜냐하면 피해 상황은 피해를 입은 기관에서 밝혀야만 정확히 파악할 수 있기 때문이다. 외부에서 확인할 수 있는 건 누군가 톤셸이라는 새로운 백도어를 아시아 국가 일부 기관에 심었다는 것까지다. 그리고 그 톤셸에 각종 악성 기능이 탑재됐다는 것이다. 그 기능들을 미루어 적잖은 정보가 새나갔을 가능성이 높다는 것은 어디까지나 정황상의 추정일 뿐이다. 그 추정을 확실하게 만드는 건 피해자들의 직접적인 피해 사실 공개다.
“게다가 공격자들은 커널 층위에서부터 공격을 시작했습니다. 그러므로 그 시스템은 이제 신뢰할 수 없는 상태라고 할 수 있습니다. 즉 그 시스템에 남겨진 흔적들조차 의심해야 한다는 겁니다. 어떤 정보가 새나갔는지 확인도 할 수 없습니다. 정확한 피해 집계는 어려울 것으로 보입니다.” 카스퍼스키의 설명이다.
어떻게 방어하나
무스탕판다가 아시아 국가들을 겨냥하고 있기 때문에, 총구가 언제 한국을 향할지 모른다. 지속성이 강한 공격이기 때문에 겹겹의 방어 시스템을 마련할 필요가 있다. 먼저는 무스탕판다의 주된 침투 전략인 스피어피싱 및 악성 USB를 경계해야 한다. 기업이나 기관 환경에서는 승인된 USB만 사용이 가능하도록 기술과 정책의 기반을 마련해야 하고, 메일이나 SNS 등으로 들어오는 첨부파일 역시 차단하는 게 좋다.
이번 톤셸 캠페인의 핵심은 악성 ‘커널 드라이버’의 존재라고 할 수 있는데, 이것에 대비하려면 드라이버 서명 정책을 강화하는 것부터 해야 한다. 오래된 서명 인증서로 서명된 드라이버를 차단하고, HVCI를 활성화 하는 등의 조치를 취할 수 있다. MS의 폐기된 인증서(revoked certificate) 목록을 최신화 하고, 커널 드라이버 단에서의 로딩 이벤트를 주기적으로 모니터링하는 것도 중요하다.
또한 톤셸은 디스크에 흔적을 남기지 않기 때문에 전통적 백신으로는 탐지가 어렵다. EDR 혹은 XDR이 필수다. 특히 svchost.exe로의 비정상적인 코드 주입 시도를 탐지하는 등 행위 기반 탐지가 중요하다. 톤셸이 TCP 443을 이용한다는 것도 중요한 힌트이며, 공격시 시용되는 도메인이 avocadomechanism.com과 potherbreference.com이라는 것도 블랙리스트로 처리하면 대응에 도움이 된다.🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- ToneShell – APT Mustang Panda's new weapon - Viettel Threat Intelligence, 2024년 (거의 100개 샘플과 캠페인을 분석해 ToneShell이 아시아 각국 정부·외교·교육 기관을 겨냥한 스파이 활동에 폭넓게 사용되고 있음을 입증)
- Mustang Panda: Persistent Threat Of A China‑Aligned APT - Brandefense, 2024년 활동까지 타임라인으로 정리하며, 2024년 이후 ToneShell 백도어 사용 증가와 동남아(특히 정부·해운·NGO) 기관을 중심으로 한 스파이 캠페인 서술)
- Chinese state hackers use rootkit to hide ToneShell malware activity - BleepingComputer, 2025년 (카스퍼스키 분석을 인용, 미얀마·태국 등 아시아 정부 기관을 겨냥해 커널 모드 루트킷으로 ToneShell을 은폐·배포하는 Mustang Panda 작전 설명)
- 중국 해커 그룹 Mustang Panda - 이썩 ISARC 블로그, 2025년 (IBM X‑Force 결과를 바탕으로 2024년 이후 싱가포르·태국 등 동남아시아 기관에 대한 ToneShell 변종 사용 및 로더·난독화 기법 진화를 한글로 정리)
문가용 기자
문가용 기자
