Home > 전체기사

북한 해커그룹 김수키, 원격제어 악성코드 이용한 또 다른 공격 감행

  |  입력 : 2021-09-27 12:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김수키, 서울대병원 환자 정보 탈취의 주범으로 추정되는 북한 정찰총국 산하 해킹조직
AppleSeed 원격제어 악성코드 통해 VNC 악성코드 설치 정황 포착


[보안뉴스 원병철 기자] 대표적인 북한의 사이버 공격그룹인 김수키(Kimsuky)가 최근 AppleSeed 원격제어 악성코드를 통해 VNC 악성코드를 설치하는 정황을 포착됐다. 김수키는 최근 하태경 의원이 서울대병원 환자 정보 탈취의 주범으로 지목한 북한 정찰총국 산하 해킹 조직이다.

[이미지=utoimage]


안랩의 ASEC 분석팀은 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 VNC 악성코드가 설치되는 정황을 발견하고 분석에 나섰다. VNC는 ‘가상 네트워크 컴퓨팅(Virtual Network Computing)’이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속해 제어하기 위한 목적으로 사용된다.

Kimsuky 그룹은 최초 침투 과정을 거쳐 공격 대상 시스템에 AppleSeed 백도어를 설치하는데, 여기에 그치지 않고 AppleSeed를 통해 추가적으로 VNC 악성코드를 설치해 공격 대상 시스템을 그래픽 환경으로 제어할 수 있게 한다. 설치되는 VNC 악성코드들 중에는 먼저 TinyNuke 악성코드가 있다.

TinyNuke(HVNC)
Nuclear Bot이라고도 알려진 TinyNuke는 2016년부터 확인된 뱅킹 악성코드로, HVNC (HiddenDesktop/VNC), Reverse SOCKS4 프록시, 웹 브라우저 폼 그래빙과 같은 기능들을 포함한다. TinyNuke는 2017년경 소스코드가 공개됨에 따라 다양한 공격자들에 의해 사용되고 있으며, 그중에서 HVNC 기능은 AveMaria, BitRAT과 같은 다른 악성코드들에 의해 부분적으로 차용되는 방식으로 사용되고 있다.

유포되고 있는 TinyNuke는 기존의 다양한 기능들 중에서 HVNC 기능만 활성화되어 있다. 참고로 일반적인 VNC와 TinyNuke가 사용하는 HVNC의 차이점은 감염된 사용자가 자신의 화면이 제어되고 있다는 사실을 인지하지 못하는 것이다. 아래 그림은 HVNC 기능이 활성화될 경우의 프로세스 트리이다.

▲HVNC 사용 시 프로세스 트리[자료=안랩]


프로세스 트리를 보면 explorer.exe(PID: 2216)의 자식 프로세스로 explorer.exe(PID: 3140)가 존재한다. 공격자는 새로운 explorer.exe(PID: 3140)를 통해 화면제어가 가능하며, 공격자가 피해 PC를 제어하는 동안 생성하는 프로세스의 GUI(Graphical User Interface)는 피해 PC 화면에서는 보이지 않는다. 이러한 VNC 원격 접근을 HVNC(Hidden Virtual Network Computing)라고 한다.

또 다른 특징이라고 한다면 Reverse VNC 방식이라는 점이다. VNC는 서버와 클라이언트로 이루어져 있으며 제어 대상 시스템에 VNC 서버를 설치하고 해당 시스템을 원격으로 제어하고자 하는 사용자는 VNC 클라이언트를 이용한다. VNC 클라이언트에서는 원격 제어 대상 시스템에 설치된 VNC 서버를 거쳐 제어가 가능해진다.

일반적인 VNC 환경에서는 VNC 클라이언트를 통해 원격 제어 대상 즉 VNC 서버에 접속을 시도하지만, TinyNuke의 HVNC는 Reverse VNC 기능을 지원함에 따라 서버에서 클라이언트로 접속을 시도한다. 즉, 감염 시스템의 HVNC가 실행되면 지정된 명령제어(C&C) 서버에 접속하며, C&C 서버에서 VNC 클라이언트(HVNC 기준으로는 서버)를 이용해 대기하던 공격자는 원격 제어가 가능해진다. 이는 Reverse Shell과 같이 외부에서 내부로의 접근을 차단하는 방화벽을 우회하고 사설 IP 환경에서도 통신을 지원하기 위한 것으로 추정된다.

참고로 TinyNuke는 서버와 클라이언트 간 HVNC 통신을 확립할 때 ‘AVE_MARIA’ 문자열을 이용해 검증한다. 즉, HVNC 클라이언트에서 서버로 ‘AVE_MARIA’ 문자열을 보내면, 서버에서는 이름을 검증해 ‘AVE_MARIA’가 맞을 경우에 HVNC 통신이 가능해진다.

▲HVNC에서 사용되는 AVE_MARIA 문자열[자료=안랩]


이는 김수키 그룹에서 사용하는 HVNC에서도 동일한데, 최근에는 다음과 같이 ‘LIGHT’S BOMB‘ 문자열을 사용하는 HVNC들이 확인되고 있다.

▲AVE_MARIA 대신 사용되는 ‘LIGHT’S BOMB’ 문자열[자료=안랩]


TightVNC(VNC)
김수키 그룹에서 AppleSeed 백도어를 통해 유포하는 또 다른 VNC 악성코드로는 TightVNC가 있다. TightVNC는 오픈소스 VNC 유틸리티이며, 공격자는 이를 커스터마이징해서 사용한다. TightVNC는 일반적인 VNC 유틸리티라고 할 수 있지만, 앞에서도 다룬 Reverse VNC 기능을 지원하는 점이 다르다.

TightVNC는 서버 모듈인 tvnserver.exe와 클라이언트 모듈인 tvnviewer.exe로 이루어져 있다. 일반적인 환경에서는 원격 제어 대상에 tvnserver를 설치하고 사용자 환경에서 tvnviewer를 이용해 제어 대상에 접속하게 된다. Reverse VNC 기능을 사용하기 위해서는 클라이언트에서 tvnviewer를 리스닝 모드로 실행한 후 접속 대상 시스템에 서비스로 설치된 tvnserver를 이용해 controlservice 및 connect 명령으로 클라이언트의 주소를 설정해 접속하게 할 수 있다.

김수키 그룹에서 유포하는 것은 tvnserver이며, 감염 환경에서 서비스 설치 없이 단독으로 Reverse VNC 기능을 사용할 수 있도록 커스터마이징한 형태다. 이에 따라 단순히 tvnserver를 실행만 하더라도 C&C 서버에서 동작하는 tvnviewer에 접속해 공격자는 감염 시스템에 대한 화면 제어가 가능해진다.


▲Tvnviewer를 이용한 Reverse VNC 통신[자료=안랩]


김수키 그룹은 AppleSeed를 이용해 또 다른 백도어 악성코드인 미터프리터를 설치하기도 하며, 화면 제어를 위해 TinyNuke, TightVNC 및 RDP Wrapper를 이용하고 있다. 이외에도 계정 정보 탈취를 위한 공격 정황도 함께 확인되고 있다.

이 때문에 안랩 ASEC 분석팀에서는 현재 김수키 그룹의 악성코드 동향을 지속적으로 모니터링 중에 있으며, 사용자는 의심스러운 메일의 첨부 파일 열람이나 신뢰할 수 없는 사이트는 되도록 방문하지 않도록 각별한 주의가 필요하다고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)