카스퍼스키 “허니마이트 APT, 정부·외교기관 집중 공격”

카스퍼스키는 4일 아시아와 러시아 지역 정부기관을 겨냥한 '허니마이트(HoneyMyte)' 지능형 지속 위협(APT) 공격의 최신 동향을 공개했다.

카스퍼스키 글로벌 연구·분석팀(GReAT)에 따르면 허니마이트 APT는 미얀마, 몽골, 말레이시아, 태국, 러시아를 대상으로 공격을 전개했으며 주요 표적은 정부 및 외교 기관이었다.

이번 공격은 '쿨클라이언트(CoolClient)' 백도어의 기능을 확장해 클립보드와 웹브라우저, 프록시 서버 자격 증명 등 민감 정보를 폭넓게 탈취하는 것이 특징이다.

연구진은 최신 쿨클라이언트 백도어가 DLL 사이드로딩(DLL side-loading) 기법을 활용한다고 설명했다. 이는 정상적으로 디지털 서명된 실행 파일이 같은 경로에 위치한 악성 DLL 파일을 불러오도록 유도하는 방식이다.

공격자는 2021년부터 2025년까지 다양한 합법 소프트웨어의 서명된 실행 파일을 악용해 왔으며, 최근 공격에서는 중국 보안 솔루션 업체 '상포어(Sangfor)'의 서명된 애플리케이션이 사용된 것으로 분석됐다.

새 버전에는 클립보드 모니터링과 활성 창 추적 기능이 추가돼 복사된 데이터와 함께 창 제목, 프로세스 ID, 타임스탬프가 수집된다. HTTP 프록시 서버 인증 정보를 탈취하는 기능도 새롭게 확인됐다.

연구진은 허니마이트가 시스템 정보 수집과 문서 유출, 브라우저 저장 자격 증명 탈취를 위해 여러 스크립트를 사용했으며, 일부 크롬 자격 증명 탈취 악성코드는 과거 톤셸(ToneShell) 계열 악성코드와 코드 유사성을 보였다고 설명했다.

박진형 기자 jin@etnews.com