중국 해커들이 비주얼 스튜디오 코드(Visual Studio Code, VSCode) 터널을 악용해 시스템에 은밀히 접근하고 지속적인 원격 액세스를 유지하는 새로운 전술을 사용한 것으로 드러났다.
이번 공격은 '디지털 아이 작전(Operation Digital Eye)'으로 명명됐으며, 보안 기업인 센티넬랩스(SentinelLabs)와 티넥스타 사이버(Tinexta Cyber)가 이를 밝혀냈다. 이 작전은 2024년 6월부터 7월까지 남유럽의 대형 IT 서비스 제공업체를 대상으로 수행됐다.
비주얼 스튜디오 코드 터널은 마이크로소프트의 원격 개발(Remote Development) 도구의 일부로, 개발자가 안전하게 원격 시스템에 접속하고 작업할 수 있도록 설계됐다. 이 터널은 마이크로소프트 애저(Azure) 인프라를 통해 트래픽이 전송되고, 실행 파일이 마이크로소프트의 서명을 받아 신뢰를 제공한다. 하지만 이 같은 신뢰성과 사용 편의성은 공격자들에게도 유용한 도구로 악용될 수 있다.
공격자들은 휴대용 버전의 비주얼 스튜디오 코드(code.exe)를 설치하고, winsw 도구를 사용해 이를 지속적인 윈도우 서비스로 설정했다. 이렇게 설정된 터널은 공격자가 깃허브(GitHub) 또는 마이크로소프트 계정을 통해 인증 후 웹 인터페이스로 접근할 수 있게 했다.
공격자들은 SQL 주입(SQL Injection) 취약점을 이용해 인터넷에 노출된 웹 및 데이터베이스 서버를 자동화 도구인 sqlmap으로 침투하며 공격을 시작했다. 시스템에 접근한 후 PHP 기반 웹셸인 PHPsert를 설치해 추가 페이로드 전달 및 명령 실행을 가능하게 했다.
네트워크 내부 확장을 위해 공격자들은 원격 데스크톱 프로토콜(RDP)과 해시 전달 공격(pass-the-hash)을 사용했으며, 이를 위해 커스텀 버전의 미미캣츠(Mimikatz)인 bK2o.exe를 사용했다. 이후 비주얼 스튜디오 코드를 설치하고 터널 매개변수를 구성해 원격 접속을 가능하게 하는 백도어를 설정했다.
특히 중국 내 근무 시간대에 활동이 집중됐으며, 작업일 중 높은 빈도로 접속이 이루어졌다.
이번 공격은 합법적인 도구와 인프라를 활용해 탐지를 피하려는 고도화된 방식이었다. 센티넬랩스는 아래와 같은 지표를 탐지 대상으로 삼아야 한다고 강조했다.
-윈도우 서비스 관리자에서 예상치 못한 code.exe 서비스 존재
-네트워크 로그에서 .devtunnels.ms와 같은 도메인으로의 비정상적인 아웃바운드 연결
-비개발자가 비주얼 스튜디오 코드를 실행하거나 비정상적인 시간대에 발생하는 실행 활동
이번 작전의 배후가 특정되지 않았지만, 중국의 STORM-0866 또는 샌드맨(Sandman) APT와 유사한 특성을 보였다. 다만 센티넬랩스는 중국 해커 그룹 간의 멀웨어 및 운영 매뉴얼 공유로 인해 명확한 추적이 어렵다고 지적했다.
비주얼 스튜디오 코드의 악용은 처음이 아니다. 2024년 9월, 유닛 42(Unit 42)는 중국 APT 그룹인 ‘스테이틀리 토러스(Stately Taurus)’가 동남아시아 정부 기관을 대상으로 한 첩보 작전에서 비주얼 스튜디오 코드를 활용했다고 보고했다. 그러나 이번 작전과의 직접적인 연관성은 확인되지 않았다.
보안 전문가들은 공격자들이 신뢰받는 도구와 서비스를 악용하는 사례가 늘고 있다고 경고하며, 보안 팀이 이상 행동 분석 및 비정상 탐지로 전환해야 한다고 강조했다. 또한, 원격 터널 도구 사용 제한, 코드 실행 허용 목록 관리, 윈도우 서비스 감사와 같은 엄격한 보안 정책을 권장했다. 추가로, 엔드포인트 보안 강화, 제로 트러스트 원칙 적용, SQL 주입 취약점 제거를 위한 패치 관리 등이 필요하다고 조언했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
