보안정보

NoxPlayerGelsemium

NoxPlayer 공급망 공격과 은밀히 연결된 Gelsemium

침해사고분석팀 2021.06.10

 

 

ESET 연구원이 Gelsemium으로 알려진 은밀한 사이버 스파이 그룹과 올해 초 게이머를 표적으로 삼은 NoxPlayer Android 에뮬레이터 공급망 공격과의 연결고리를 발견했다.

 

해당 해킹 그룹의 활동은 2014년으로 거슬러 올라간다.

 

이 그룹의 악성 툴 중 일부는 G DATA의 SecurityLabs에서 스피어 피싱으로 구동되는 표적 사이버 스파이 캠페인(Operation TooHash라고도 함)을 조사하는 동안 발견되었다.

 

2년 후인 2016년 HITCON의 Verint Systems 프레젠테이션에서 새로운 Gelsemium 침해 지표가 나타났다.

 

2018년 VenusTech는 Operation TooHash와 연결된 알려지지 않은 APT 그룹의 악성 코드 샘플을 공개했는데, ESET은 나중에 이것이 Gelsemium 악성 코드의 초기 버전임을 발견했다.

 

이 그룹은 동아시아와 중동의 정부, 종교 단체, 전자 제조업체 및 대학을 표적으로 삼는 것으로 유명하지만 대부분의 경우에는 레이더 아래에 머물며 은밀히 움직였다.

 

 

 

[그림1. Gelsemium 공격대상 지도]

 

 

ESET 연구원들은 2020년 중반 이후 여러 캠페인을 조사하면서 Gelsevirine의 복잡한 모듈식 백도어의 초기 버전도 발견했다고 밝혔다.

 

ESET은 "Gelsemium은 세가지 구성 요소와 플러그인 시스템을 사용하여 운영자에게 정보를 수집할 수 있는 다양한 가능성을 보여줍니다. 드롭퍼 Gelsemine, 로더 Gelsenicine 및 메인 플러그인 Gelsevirine입니다."라고 말했다.

 

G DATA 및 Verint Systems의 보고서에 따르면 사이버 스파이는 CVE-2012-0158 Microsoft Office 취약성을 악용하는 문서 첨부 파일이 있는 스피어 피싱 이메일을 사용하여 맬웨어를 전달했다.

 

또한 VenusTech는 2018년에 인트라넷 서버에 설정된 워터링 홀을 사용하여 관찰한 반면 ESET은 취약한 Exchange 서버에 대한 사전 인증 RCE 익스플로잇을 사용하여 웹 셸을 배포하는 것을 발견했다.

 

이들이 사용한 방법에는 새로 생성된 도메인 목록이 제공되지 않기 때문에 명령 및 제어 서버에 대한 동적 DNS (DDNS) 도메인 이름을 사용하여 인프라 추적을 복잡하게 만드는 것도 포함된다.

 

ESET 연구원인 Thomas Dupuy는 "Gelsemium의 전체 체인은 처음에는 단순해 보일 수 있지만 각 단계에 이식된 수많은 구성으로 인해 최종 페이로드에 대한 설정을 수정할 수 있으므로 이해하기가 더 어려워집니다."라고 덧붙였다.

 

 

 

[그림2.  Gelsemium 공격 흐름도]

 

 

ESET 연구원들은 Gelsemium이 2020년 9월부터 2021년 1월까지 게이머의 시스템을 감염시키기 위해 Windows 및 macOS 용 NoxPlayer Android 에뮬레이터(사용자 1억 5천만 명 이상)의 업데이트를 손상시키고 악용한 공급망 공격을 조정한 APT 그룹이라고 추측한다.

 

다행히도 이 공급망 공격(Operation NightScout이라고 함)은 대만, 홍콩, 스리랑카의 제한된 목표에만 영향을 미쳤으며, 이는 고도로 표적화된 작전의 특징을 암시한다.

 

이것은 많은 위협 행위자가 게임 커뮤니티를 표적으로 삼지 않기 때문에 그 자체로 NoxPlayer에 대한 Gelsemium의 공격을 눈에 띄게 만든다.

 

ESET은 "조사 결과 이 공급망 공격과 Gelsemium 그룹 사이의 일부 중복이 발견되었습니다. 원래 공급망 공격에 의해 손상된 피해자는 나중에 Gelsemine에 의해 손상되었습니다."라고 말했다.

 

"안타깝게도 우리는 한 캠페인이 다른 캠페인에 속한 페이로드를 드롭하거나 다운로드하는것 만큼 강력한 관련성을 관찰하지 못했지만 Operation NightScout이 Gelsemium 그룹과 관련이 있다는 결론을 내렸습니다."라고 결론지었다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/stealthy-gelsemium-cyberspies-linked-to-noxplayer-supply-chain-attack/

 
목록