카스퍼스키, 리눅스 기반 스텔스 백도어 ‘NIDUPICK(BPFDoor)’ 변종 분석 보고서 발표

카스퍼스키는 최근 통신사 공격에 사용된 리눅스 기반 스텔스 백도어 ‘NIDUPICK(BPFDoor)’의 최신 변종을 분석한 보고서를 발표했다. 해당 악성코드는 2020년 카스퍼스키가 최초로 탐지한 이후 지속적으로 추적해온 APT 공격 캠페인의 일환으로, 보고서는 그 연장선에서 이뤄졌다.

NIDUPICK은 BPF(Berkeley Packet Filter)를 악용해 보안 장비를 우회하며, 정상 프로세스로 위장해 시스템 내부에 잠복하는 형태의 백도어다. 특정 패턴의 패킷 수신 시 공격자의 명령에 따라 원격 쉘을 열고, 암호화된 제어 명령을 수행한다. 이 악성코드는 Passive 및 Active 통신 방식을 모두 지원하며, 카스퍼스키는 해당 악성코드에 대한 Yara 및 Suricata 기반 탐지 룰을 이미 배포한 바 있다.

MITRE ATT&CK 프레임워크 기준, 실행(T1059.004), 방어 회피(T1070.002 등), 정찰(T1033, T1040 등), 명령 및 제어(T1573.001 등), 영향(T1565.002) 등 다수의 전술 및 기법이 식별됐다.

카스퍼스키는 2025년 5월, 텔레메트리를 통해 NIDUPICK의 새로운 변종을 포착했다. 변종은 SSL 암호화 채널을 통해 명령어 통신을 수행하며, 기존 룰로 탐지가 어려운 신규 매직 패킷 포맷이 확인됐다. 공격 대상도 아시아, 중동, 중앙아시아로 확대되었으며, 국내 통신사를 주요 표적으로 삼아 지속적인 위협이 가해지고 있다.

이에 따라 카스퍼스키는 SSL 인증서 및 신규 매직 패킷 식별 기반 탐지 룰을 업데이트했으며, 침해 지표(IOC)를 고객사에 인텔리전스 형태로 제공하고 있다. 보안 담당자에게는 다음과 같은 대응 방안을 제안했다.

방화벽, IDS/IPS, EDR 등에 최신 탐지 룰 적용
카스퍼스키 인텔리전스 포털을 통한 정기적 IOC 업데이트
악성 C2 주소 차단 및 네트워크 로그 내 매직 패킷 분석
SSL 암호화 트래픽 내 쉘 통신 탐지를 위한 DPI 기능 활용

카스퍼스키는 리눅스 서버 보안 제품과 Threat Intelligence 솔루션을 통해 이러한 위협에 대응할 수 있으며, 국내 피해 확산 방지를 위해 지속적인 모니터링과 대응 역량을 강화해 나갈 계획이다.

By 기사제보 및 정정요청 = PRESS@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 Ai 학습 포함 금지〉