2023년 11월부터 2024년 4월까지 타이완(대만)을 대상으로 한 정교한 사이버 첩보 공격이 최근 드러났다. 이 캠페인은 중국 연계 국가 지원 해커 그룹에 의해 수행되었으며, 타이완 외에도 지부티, 홍콩, 케냐, 라오스, 말레이시아, 필리핀, 르완다, 한국, 미국 등 여러 국가에 영향을 미쳤다.

‘레드줄리엣’이라 명명된 이 캠페인은 플랙스 타이푼(Flax Typhoon) 또는 에테리얼 판다(Ethereal Panda)로도 알려져 있으며, 타이완의 경제 정책, 무역 및 외교 관계에 대한 정보를 수집하기 위한 것으로 분석되었다. 레코드드 퓨처의 인시크트 그룹(Insikt Group)과 크라우드스트라이크(CrowdStrike), 마이크로소프트(Microsoft) 등 다수의 사이버 보안 회사가 이 캠페인의 활동을 추적하고 있다.

해커들은 초기 접근을 위해 주로 방화벽, 로드 밸런서, 기업용 가상 사설망(VPN) 제품 등 인터넷에 노출된 장비를 타겟으로 삼았다. 이들은 SQL 인젝션과 디렉토리 트래버설 익스플로잇을 활용해 웹 및 SQL 애플리케이션을 공격했다.

초기 접근 후, 레드줄리엣은 악성 트래픽을 터널링하기 위해 오픈소스 소프트웨어인 소프트이더(SoftEther)를 사용하고, 리빙 오프 더 랜드(LotL) 기법을 활용해 탐지를 회피했다. 이러한 접근 방식은 네트워크 활동과 정상적으로 융합되어 경고를 최소화하는 역할을 한다.

레드줄리엣의 운영 인프라는 해커들이 통제하는 서버와 세 개의 타이완 대학에 속한 손상된 인프라로 구성되었다. 이들은 중국 초퍼(China Chopper), 데빌즈셸(devilzShell), 안트소드(AntSword), 고질라(Godzilla) 등의 다양한 오픈소스 웹 셸을 사용해 네트워크에서 지속성을 유지했다. 또한, 리눅스 특권 상승 취약점인 더티카우(DirtyCow, CVE-2016-5195)를 악용해 시스템 권한을 획득했다.

레드줄리엣 캠페인은 타이완에 국한되지 않았다. 소포스(Sophos)와 맨디언트(Mandiant)의 보고서에 따르면, 중국 국가 지원 해커들은 동남아시아 및 기타 지역에서도 여러 평행 첩보 캠페인을 수행해 왔다.

예를 들어, 소포스는 크림슨 팰리스(Crimson Palace)라는 캠페인에서 APT41, 백도어디플로머시(BackdoorDiplomacy) 등 중국의 유명 해커 그룹과의 광범위한 연관성을 발견했다. 이 캠페인은 동남아시아의 정부 기관을 대상으로 군사 정보를 수집하기 위해 정교한 악성 소프트웨어와 기법을 사용했다.

유사하게, 맨디언트는 이메일 보안 게이트웨이(ESG) 도구의 취약점을 악용한 또 다른 중국 사이버 첩보 작전을 보고했다. 이 캠페인은 UNC4841이라는 그룹에 의해 수행되었으며, 제로 데이 결함을 이용해 데이터를 유출하고 네트워크 내에서 이동했다.

레드줄리엣의 접근 방식은 전통적 기법과 정교한 기법을 혼합한 것이었다. 소프트이더와 LotL 기법의 사용은 탐지를 피하기 위한 것이다. 이들은 합법적인 관리 도구와 프로세스를 사용해 표준 보안 조치로는 탐지하기 어려운 활동을 수행했다.

이러한 위협을 완화하려면 조직은 인터넷에 노출된 장비의 정기적인 패치, 비정상적인 네트워크 활동에 대한 지속적인 모니터링, LotL 기법을 탐지할 수 있는 고도의 위협 탐지 도구를 활용해야 한다. 제로 트러스트 아키텍처를 채택하고 네트워크를 분할하는 것도 잠재적 침해의 영향을 제한하는 데 도움이 될 수 있다고 전문가들은 말한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★