5년 동안 탐지되지 않았던 '타지마할 APT 프레임워크' 발견

Sophisticated 'TajMahal APT Framework' Remained Undetected for 5 Years

사이버 보안 전문가들이 최소 5년 동안 운영되어 왔지만 최근까지 발견되지 않은 매우 정교한 스파이웨어 프레임워크를 공개했습니다.

카스퍼스키 연구원들이 타지마할(TajMahal)이라 명명한 이 APT 프레임워크는 첨단 기술이 추가된 모듈형 악성코드 툴킷입니다.

이 툴킷은 간첩 작전을 위한 악성 플러그인 다수를 지원할 뿐만 아니라 이전에는 볼 수 없었던 기묘한 트릭을 사용합니다.

카스퍼스키는 이 프레임워크를 타지마할이라 명명한 이유는 공개하지 않았습니다.

연구원들은 작년 말, 소속 국가나 위치가 알려지지 않은 해커가 중앙아시아 국가에 속한 외교 기관의 컴퓨터를 염탐할 때, 타지마할 툴을 사용한 것으로 추측하고 있습니다.

그러나 악성코드 샘플을 분석해본 결과 이 공격의 배후에 있는 사이버 간첩 그룹은 최소 2014년 8월부터 활동해온 것으로 나타났습니다.

타지마할 프레임워크는 '도쿄(Tokyo)', '요코하마(Yokohama)' 두 가지 메인 패키지로 구성되어 있으며, 80개 이상의 악성 모듈을 포함하고 있습니다. 

연구원들은 이번에 발견된 타지마할이 가장 많은 수의 플러그인을 포함하는 APT 툴 중 하나라고 밝혔습니다.

이는 백도어, 로더, 오케스트레이터, C2 커뮤니케이터, 음성 녹음기, 키로거, 스크린 및 웹캠 캡처기, 문서 및 암호화 키 스틸러, 피해자 기기용 파일 인덱서까지 포함한다고 언급했습니다.

타지마할은 타깃 기기 접근에 성공하면 첫 번째 단계인 ‘도쿄’ 패키지가 다운로드된 후, 두 번째 단계인 악성코드 ‘요코하마’를 받아옵니다.

하지만 연구원들은 타지마할이 처음에 어떻게 타깃 기기를 감염시켰는지는 정확히 알아내지 못했습니다.

<이미지 출처: https://www.kaspersky.com/blog/taj-mahal-apt/26370/>

타깃 기기에 다운된 악성코드 요코하마는 자신의 암호화된 가상 파일 시스템에 악성 모듈을 저장합니다. 

그리고 저장한 악성 모듈을 통해 아래와 같은 행위를 수행합니다.

- 키보드 입력 값 로깅

- 브라우저 쿠키 및 애플 모바일 기기의 백업 등을 포함한 데이터 탈취

- VoIP 전화 녹화 및 스크린샷 촬영

- CD 이미지 탈취

- 프린터 큐로 전송된 문서 탈취

일반적인 간첩 기능 외에도, 이 악성코드는 이전에 꽂은 USB 저장 장치로부터 특정 파일을 탈취하는 등 몇 가지 독특한 기능을 포함하고 있습니다.

지금까지 연구원들은 한 명의 타지마할 피해자를 발견했지만, 아직 발견되지 않은 다른 피해자들도 있을 것으로 추측하고 있습니다.

연구원들은 이 악성코드가 가상 파일 시스템 내의 파일들 중 하나를 어떻게 사용하는지 알아낼 수 없었다며, 발견되지 않은 다른 버전도 있을 것이라고 말했습니다.

출처:

https://securelist.com/project-tajmahal/90240/

https://www.kaspersky.com/blog/taj-mahal-apt/26370/

https://thehackernews.com/2019/04/apt-malware-framework.html