Hive0154 캠페인

1) 개요

Hive0154는 Mustang Panda, Stately Taurus 등의 이름으로도 불리는 중국 첩보형 공격 그룹이다. 수년간 활발하게 활동하고 있으며, 특히 동아시아를 중심으로 공공·민간을 타겟으로 한다. Hive0154 그룹은 맞춤형 악성코드 로더, 백도어, USB 웜 등 다양한 공격도구들을 사용한다. 최근에는 Toneshell 백도어의 변종과, Snakedisk USB 웜을 사용한 캠페인이 발견되었다.
Toneshell은 dll 사이드로딩을 이용해 조용히 실행되는 경량 원격 실행 백도어이다. 여러 변종이 나오는 백도어로 25년 3월에 Toneshell8이 발견되었으며, 9월 현재 Toneshell9이 발견되었다. 이를 통해 Hive0154은 공격적으로 사용 자원들을 고도화하는 것을 파악할 수 있다.

2) Toneshell8

앞서 말했듯이 Toneshell은 기본적으로 dll 사이드로딩을 통해 실행되기 때문에 압축파일에 exe 실행 파일과 dll(Toneshell)파일이 같이 제공된다. 

<그림 1> Toneshell 백도어와 실행파일

백도어가 실행되면 먼저 현재 경로에 Google\\DriveFS\\Scratch 문자열이 존재하는지 검사한다. 해당 문자열이 존재하지 않는다면 현재 실행 중인 프로세스를 확인해 부모 프로세스를 식별하고, 그 부모 프로세스의 실행 경로에 GoogleDrive가 포함되어 있는지 확인한다. 

<그림 2> 경로 탐색 

<그림 3> 프로세스 확인 

그 후 Global\\SingleCorporation12AD8B 라는 이름으로 뮤텍스를 생성해 백도어가 중복 실행 되는 것을 방지한다. 

<그림 4> 뮤텍스 생성 

백도어는 분석을 방지하고 샌드박스 환경 회피를 위해 여러 기법들을 사용했다. 첫번재로 임의의 문자열들을 반복적으로 비교하는 무의미한 루프를 통해 실행 시간을 소모하고 제어 흐름을 혼란시켜 코드 분석을 방해했다. 이때 비교에 사용되는 문자열은 ChatGPT, Pega AI 웹사이트에 존재하는 글을 복사한 것이다. 

<그림 5> 문자열 비교 루프 

<그림 6> AI 관련 문자열 

두번째로 임시파일을 생성·기록·삭제하는 동작을 반복하며 각 반복마다 Sleep(100)과 같은 짧은 지연을 두어 실행시간을 소모하여 분석 지연을 유도했다. 

<그림 7> 파일 생성 루프

백도어는 특정 경로(C:\Users\User\AppData\Roaming)에 랜덤이름의 폴더를 생성하여 그곳에 자기자신을 복제한다. exe 파일은 svchosts.exe 라는 이름으로 복제한다. 

<그림 8>dll 파일 복제 

<그림 9> svchosts.exe 이름으로 파일 복제 

<그림 10>생성된 svchosts.exe 파일 및 dll 파일

생성된 svchosts.exe 파일을 작업 스케줄러에 트리거 시 1분 마다 반복되도록 등록한다.  

<그림 11> 작업 스케줄러 등록

 C2 서버 146[.]70[.]29[.]229 와 통신하며 명령을 주고 받는다.

<그림 12> C2 통신

 3) Toneshell9

새로 발견된 Toneshell9 또한 마찬가지로 dll 사이드로딩을 통해 실행된다. 조금 달라진 부분이 있다면 dll과 함께 배치파일이 제공되며 배치 파일을 열어볼 경우 exe 파일을 –Embedding 인수를 주어 실행하도록 명령어가 작성되어 있는 것을 확인할 수 있다.  

<그림 13> Toneshell9 압축파일 

<그림 14> 배치 파일

Toneshell9에도 분석 지연을 위한 기법이 존재하며, Toneshell8 보다 더 높을 비율로 존재한다. 아래 코드는 CPU 틱 카운터를 반복적으로 읽고 그 값을 문자열로 변환한 뒤  메모리를 해제하는 동작을 수행한다. 문자열로 변환된 값은 사용되지 않는 값이며, 이처럼 의미 없는 코드를 실행하여 분석을 지연시킨다. 

<그림 15> 틱 카운터 계산

프록시와 관련해 레지스트리를 탐색하며 Toneshell9이 C2와 통신할 때 로컬 프록시를 사용할 수 있도록 코드가 추가된 것으로 추측된다. 

<그림 16> 레지스트리 탐색

<그림 17> 프록시 탐색

 C2 서버 123[.]253[.]34[.]44 와 통신하며 명령을 주고 받는다. Toneshell9의 경우 C2 주소가 하드코딩되어 있다.

<그림 18> C2 주소 

<그림 20> C2 서버와 통신

4) 결론 

Toneshell8과 Toneshell9을 살펴보았을 때 다수의 회피, 난독화 기법을 조합하여 분석을 어렵게 한다. 정크 코드, 파일 생성 루프, 반복 문자열 비교 등으로 정적/동적 분석을 의도적으로 방해한다. 이런 특성은 실제 악성행위를 놓치게 하거나 식별 난이도를 높인다. Toneshell은 단기간에 계속 고도화 되고 있어 이러한 기법들이 더 다양해질 가능성이 있다.
해당 위협에 대응하기 위해 계정/네트워크 분리/ 보안 교육 등을 철저하게 해야한다. 특히 불필요한 관리자 계정을 비활성화 또는 비밀번호를 주기적으로 변경하여 시스템에 접근하지 못하도록 하며, 악성코드가 시스템에 들어오는 것을 방지 하기 위해 전 직원 대상으로 의심 파일·메일 등을 열람하지 않게 주기적으로 보안 교육을 진행하는 것이 바람직하다.


[참고자료]
https://www.zscaler.com/blogs/security-research/latest-mustang-panda-arsenal-toneshell-and-starproxy-p1
https://intezer.com/blog/frankenstein-variant-of-the-toneshell-backdoor-targeting-myanmar/
https://www.ibm.com/think/x-force/hive0154-drops-updated-toneshell-backdoor