사우스아시아 기반의 사이버 위협 그룹 미스터리어스 엘리펀트(Mysterious Elephant), 일명 APT-K-47이 고도화된 악성코드 어싱크쉘(Asyncshell)을 활용한 새로운 공격 캠페인을 벌이고 있는 것으로 밝혀졌다. 이번 공격에서는 하즈(Hajj)와 관련된 주제를 미끼로 삼아 피해자들을 속이고, 마이크로소프트 컴파일 HTML 헬프(Microsoft Compiled HTML Help, CHM) 파일로 위장된 악성 페이로드를 실행하도록 유도했다.
미스터리어스 엘리펀트는 2022년부터 활동을 시작한 위협 그룹으로, 주로 파키스탄 내 기관들을 표적으로 삼아 공격을 수행해왔다. 이 그룹의 공격 방식과 도구는 사이드윈더(SideWinder), 컨퓨셔스(Confucius), 비터(Bitter) 등 다른 사우스아시아 기반의 위협 그룹과 유사한 특징을 보이고 있다. 특히 2023년 10월에는 ORPC백도어(ORPCBackdoor)를 활용한 스피어 피싱 캠페인과 연관되어 있었으며, 이 캠페인은 파키스탄을 비롯한 여러 국가를 겨냥한 공격으로 확인됐다.
최근 이 그룹은 ZIP 파일 형태의 압축 파일을 통해 악성코드를 배포한 것으로 파악됐다. 이 압축 파일에는 두 가지 주요 파일이 포함되어 있다. 첫 번째는 2024년 하즈 정책과 관련된 내용으로 위장된 CHM 파일이며, 두 번째는 숨겨진 실행 파일이다.
피해자가 CHM 파일을 실행하면 파키스탄 종교부(Ministry of Religious Affairs and Interfaith Harmony) 웹사이트에서 실제 PDF 문서를 열어 보여주는 한편, 악성 실행 파일이 백그라운드에서 은밀히 작동하도록 설계되어 있다.
미스터리어스 엘리펀트가 사용하는 어싱크쉘은 꾸준히 발전해온 악성코드로, 공격 성공률을 높이기 위해 계속 업그레이드되고 있다. 이 악성코드는 cmd 및 파워셸(PowerShell) 명령 실행이 가능하며, 통신 방식도 TCP에서 HTTPS로 전환해 보안성을 강화했다. 최근에는 비주얼 베이직 스크립트(Visual Basic Script)를 활용해 디코이 문서를 띄우고, 스케줄 작업을 통해 시스템에서 지속성을 유지하도록 설계된 점이 확인됐다.
또한, 초기 공격 단계에서는 윈RAR(WinRAR) 보안 취약점(CVE-2023-38831)을 악용해 피해 시스템에 침투한 것으로 분석됐다.
미스터리어스 엘리펀트는 공격 방식도 점점 정교해지고 있다. 이전에는 고정된 명령제어(C2) 서버를 사용했으나, 최근에는 동적 C2 인프라를 도입했다. 이 기술은 서비스 요청을 위장해 최종 셸 서버 주소를 은밀히 제어하는 방식으로 탐지를 더욱 어렵게 만든다. 이 외에도 탐지 회피 기술이 대폭 강화되어, 공격 대상 시스템 내에서 장기간 활동할 수 있는 구조를 갖추었다.
미스터리어스 엘리펀트와 같은 APT 그룹의 공격은 점점 고도화되고 있어 이에 대한 철저한 대비가 요구된다.
![12월 첫 시험비행 한국형 ‘상륙공격헬기’ 작전 능력은 어떻게 되나[이현호 기자의 밀리터리!톡]](https://newsimg.sedaily.com/2024/11/24/2DGYXVWO7A_4.jpg)
