인도 정부 시스템 공격받다: 해커들이 가짜 바로가기 파일 배포

파키스탄과 연관된 해킹 그룹인 투명 부족(Transparent Tribe, APT36)이 인도 정부 기관을 겨냥한 새로운 사이버 공격 캠페인을 시작하여 다시 주목받고 있습니다.

사이버 보안 회사 CYFIRMA의 연구자들은 인도 정부 기관을 겨냥한 새로운 사이버 스파이 활동 캠페인을 발견했으며, 공격자들은 악성 데스크탑 바로가기 파일을 무해한 PDF 문서로 위장하여 배경에서 악성 코드를 비밀리에 설치합니다.

공격 방식

CYFIRMA에 따르면, 이 캠페인은 공식 회의 초대장을 담고 있는 것처럼 보이는 피싱 이메일로 시작되며, 파일 이름은 “Meeting_Ltr_ID1543ops.pdf.desktop”와 같은 형태입니다. 피해자는 무해한 문서처럼 보이는 첨부 파일을 클릭함으로써 PDF를 여는 대신, 악성 바로가기 파일을 실행하게 되어 배경에서 스파이웨어가 설치됩니다.

이 파일은 securestore[.]cv 및 modgovindia[.]space와 같은 공격자가 제어하는 서버에서 악성 코드 페이로드를 다운로드하고 배경에서 설치합니다. 의심을 피하기 위해, Google Drive에 호스팅된 미끼 PDF가 Firefox에서 열리며, 피해자는 단순히 회의 문서를 열었다고 믿게 됩니다.

시스템에 침투한 후, Go 프로그래밍 언어로 작성된 악성 코드는 민감한 데이터를 훔치고, 로그인 자격 증명을 수집하며, 장기적인 접근을 가능하게 하고, 자동화된 작업을 설정하여 재부팅 후에도 활성 상태를 유지합니다.

“APT36은 피해자의 운영 환경에 따라 배포 메커니즘을 맞춤화할 수 있는 능력 덕분에 성공 가능성을 높이고, 중요한 정부 인프라에 대한 지속적인 접근을 유지하며 전통적인 보안 통제를 회피할 수 있습니다.”라고 CYFIRMA는 연구 블로그 게시물에서 언급했습니다.

이전 작업과 달리, 이번 캠페인은 인도의 리눅스 기반 시스템, 예를 들어 정부 지원 운영 체제인 BOSS(Bharat Operating System Solutions)와 Windows 시스템을 겨냥하여 공격을 맞춤화합니다.

지속성을 유지하기 위해, 악성 코드는 시스템이 재부팅될 때마다 숨겨진 페이로드 ‘.config/systemd/systemd-update’를 실행하는 크론 작업을 추가하여 종료나 프로세스 종료 후에도 활성 상태를 유지합니다.

BOSS가 정부 부서에서 널리 사용되기 때문에, 이 이중 플랫폼 타겟팅은 해커의 성공 가능성을 높입니다.

왜 이것이 중요한가

보안 전문가들은 투명 부족의 진화하는 전술이 이제 전통적인 Windows 악성 코드 사용에서 리눅스 BOSS를 겨냥한 위협 개발로 전환되었다고 경고합니다.

“리눅스 BOSS를 겨냥한 .desktop 페이로드의 채택은 자국 기술을 활용하려는 전술적 전환을 반영합니다. 전통적인 Windows 기반 악성 코드 및 모바일 임플란트와 결합하여, 이는 그룹이 접근 벡터를 다양화하고 강화된 환경에서도 지속성을 보장하려는 의도를 보여줍니다.”라고 CYFIRMA는 말했습니다.

위험을 더하는 것은, 이 그룹이 인도 정부 포털을 모방한 자격 증명 수집 사이트도 운영하고 있다는 점입니다. 가짜 로그인 페이지는 피해자가 이메일, 비밀번호, 심지어 2022년부터 인도 기관에서 사용된 보안 조치인 Kavach 2단계 인증(2FA) 코드를 제공하도록 속입니다. 이 보안 계층을 우회함으로써, 공격자는 민감한 계정에 대한 완전한 접근을 얻게 됩니다.

장기적인 위협

파키스탄에서 활동하는 것으로 추정되는 투명 부족은 10년 이상 활동해 왔으며, 인도 정부, 방위 및 중요 인프라 조직을 정기적으로 타겟으로 하고 있습니다. 그들의 전술은 꾸준히 발전해 왔으며, 단순한 Windows 기반 악성 코드에서 고도로 맞춤화된 리눅스 백도어 및 자격 증명 도용 계획으로 변화했습니다.

권장 사항 및 완화

보안 연구자들은 정부 직원들에게 이메일 첨부 파일과 로그인 페이지를 주의 깊게 다룰 것을 권장하고 있으며, 위장된 PDF와 가짜 포털이 사용자를 속여 자격 증명을 제공하도록 유도하고 있습니다.

APT36의 인도 정부 기관을 겨냥한 캠페인에 대응하기 위해, 기관들은 강력한 이메일 보안을 배포하고, 정기적인 사용자 교육을 실시하며, 최소 권한 제어로 BOSS 리눅스를 강화할 것을 권장합니다. 엔드포인트 탐지, 네트워크 모니터링 및 IOC/YARA 규칙 통합은 조기 탐지에 도움이 되며, 적시 패치 및 행동 기반 제어는 의심스러운 활동을 차단하는 데 필수적입니다.

더 큰 그림

이번 사건은 정부 인프라를 겨냥한 APT 그룹이 초래하는 국가 안보 위험을 강조합니다. 이러한 공격이 성공할 경우, 기밀 데이터의 도난, 중요한 운영의 중단, 인도 기관에 대한 장기적인 감시가 가능해질 수 있습니다. 투명 부족이 방법을 계속 발전시키면서, 인도는 사이버 스파이 활동으로부터 민감한 인프라를 방어하는 데 점점 더 큰 도전에 직면하고 있습니다.