- CoolClient 백도어 기능 확장…클립보드·브라우저·프록시 정보까지 탈취

 

글로벌 사이버 보안 기업 카스퍼스키가 정부 및 외교 기관을 겨냥한 HoneyMyte APT 공격의 최신 동향을 공개했다. CoolClient 백도어 기능이 대폭 확장되며 클립보드, 브라우저, 프록시 자격 증명까지 탈취 범위가 넓어졌고, DLL 사이드로딩 기법을 활용한 공격 캠페인이 아시아와 러시아 지역에서 확인됐다.

 

카스퍼스키 글로벌 연구 분석팀 GReAT는 HoneyMyte APT가 동남아시아 정부·외교 기관을 중심으로 민감한 정치·전략 정보를 탈취해 왔으며, 최근에는 미얀마, 몽골, 말레이시아, 태국, 러시아를 대상으로 한 캠페인을 전개했다고 분석했다. 이번 공격은 특히 공공 부문을 핵심 표적으로 삼았다.

 

CoolClient 백도어, 기능 확장으로 감시·탈취 고도화

카스퍼스키 분석에 따르면 HoneyMyte 캠페인에서 사용된 최신 CoolClient 백도어는 PlugX, LuminousMoth와 함께 보조 백도어 형태로 배포됐다. 해당 백도어는 DLL 사이드로딩 방식을 주요 실행 메커니즘으로 활용하며, 디지털 서명된 정상 실행 파일이 악성 DLL을 로드하도록 유도한다. 위협 행위자는 2021년부터 2025년까지 다수의 합법 소프트웨어에 포함된 서명 바이너리를 악용해 왔고, 최근 캠페인에서는 Sangfor의 서명 애플리케이션을 활용했다.

 

클립보드·활성창 추적 추가…사용자 행위 정밀 수집

최신 버전에는 클립보드 모니터링과 활성 창 추적 기능이 추가됐다. 이를 통해 클립보드 내용뿐 아니라 활성 애플리케이션의 창 제목, 프로세스 ID, 타임스탬프까지 함께 수집할 수 있어, 공격자는 사용자의 작업 흐름과 복사된 데이터의 맥락을 정밀하게 파악할 수 있다.

 

프록시·브라우저 자격 증명 탈취까지 범위 확대

CoolClient는 네트워크 트래픽에서 HTTP 프록시 자격 증명을 추출하는 기능도 새롭게 갖췄다. 이는 HoneyMyte 악성코드 전반에서 처음 관찰된 기법이다. 연구진은 여러 CoolClient 플러그인이 실제로 사용되는 점을 확인했으며, 해당 백도어가 커스텀 플러그인을 통해 기능 확장이 가능한 구조임을 보여준다고 분석했다. HoneyMyte는 이와 함께 시스템 정보 수집, 문서 유출, 브라우저 저장 자격 증명 수확을 위해 다수의 스크립트를 활용했으며, 침해 이후 단계에서는 ToneShell 캠페인과 코드 유사성이 높은 크롬 자격 증명 탈취 악성코드도 사용했다.

 

카스퍼스키 GReAT 파리드 라지 보안 연구원은 “키로깅, 클립보드 모니터링, 프록시 자격 증명 탈취, 문서 유출, 대규모 파일 수집까지 포함된 현재의 공격 환경에서 능동적 감시는 APT 공격의 표준 전술이 됐다”며 “이는 전통적인 데이터 유출이나 지속성 위협과 동일한 수준의 선제적 대응을 요구한다”고 설명했다.

 

카스퍼스키 이효은 한국지사장은 “HoneyMyte APT와 같은 위협 그룹이 공격 기법을 지속적으로 진화시키면서 사이버 위협 환경은 더욱 복잡해지고 있다”며 “기업과 기관은 Kaspersky Next 제품군, 관리형 보안 서비스, 위협 인텔리전스를 결합해 종합적이고 선제적인 방어 체계를 구축해야 한다”고 밝혔다.

 

#카스퍼스키 #HoneyMyte #APT공격 #CoolClient #사이버첩보 #공공기관보안 #DLL사이드로딩 #정보탈취