보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

북한 안다리엘 그룹의 새로운 공격 발견... ‘고 언어’로 개발된 악성코드 다수 확인

입력 : 2023-08-25 14:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국방/안보 분야, 대학, 운송, ICT 업체 등 다양한 국내 기업과 기관 타깃돼
안랩 ASEC분석팀, 안다리엘 해킹그룹의 과거 및 현재 공격의 연관성과 위협 분석


[보안뉴스 김영명 기자] 국내 기업과 기관들을 주된 공격 대상으로 하는 안다리엘(Andariel) 위협 그룹은 라자루스(Lazarus) 위협 그룹과 협력하는 관계이거나 혹은 라자루스 그룹의 하위 조직으로 알려졌다. 2008년부터 국방, 정치기구, 조선, 에너지, 통신 등 안보 관련 기관 및 대학이나 운송, ICT 업체 등 다양한 국내 기업과 기관들이 공격 대상이 되고 있다.

[이미지=gettyimagesbank]


안다리엘 해킹그룹은 최초 침투에서 스피어피싱, 워터링 홀, 공급망 공격 등을 이용하며, 악성코드 설치 시 중앙관리 솔루션을 악용하기도 한다. 이들은 다양한 악성코드를 제작해 공격에 사용하는데, 과거 안다랫(Andarat) 공격에 사용된 안다랫엠(Andaratm), 판도어(Phandoor), 리프도어(Rifdoor), 타이거랫(TigerRAT), 매직랫(MagicRAT) 등 백도어 유형이 많다.

안랩 ASEC 분석팀은 최근 안다리엘 그룹의 공격으로 추정되는 공격 사례들을 분석했다. 이번 공격 사례에서는 이전 공격에서 확인된 악성코드들이나 C&C 서버가 사용되지 않아 직접적인 관계는 없다. 올해 공격은 고(Go) 언어로 개발된 악성코드들이 다수 확인되는 것이 특징이다.

▲Go 언어로 개발된 DurianBeacon의 소스코드 정보[자료=안랩 ASEC 분석팀]


과거 이노릭스 에이전트(Innorix Agent) 공격 사례에서는 안다리엘 그룹이 이노릭스 에이전트 사용자를 대상으로 악성코드를 유포한 정황을 공개했다. 유포에 악용된 이노릭스 에이전트는 파일 전송 솔루션 클라이언트 프로그램으로, 한국인터넷진흥원에서 보안 업데이트를 권고한 INNORIX Agent 9.2.18.450 및 이전 버전으로 확인됐다. 국내 대학 다수가 해당 악성코드에 감염됐다. 공격에 사용된 악성코드들은 대부분 알려진 백도어 유형은 없었지만, 다른 악성코드들과의 연관성이 존재했다.

뉴크스페드(NukeSped) 변종 악성코드는 C&C 서버와의 통신 과정에서 패킷을 암호화하기 위해 0x10 바이트 키를 사용했다. 볼그머(Volgmer)는 최근까지도 공격에 사용되고 있으며, 해당 악성코드에서 볼그머와 동일한 키 값이 사용됐다. 뉴크스페드 변종 악성코드는 기본적인 기능만을 제공하는 상대적으로 단순한 형태의 백도어이며, 자가 삭제 과정에서 사용되는 Batch 스크립트가 기존 뉴크스페드 유형과 유사한 점이 특징이다.

안다르도어(ANDARDOOR)는 닷넷으로 개발됐으며, 테스트프로그램(TestProgram)이라는 이름의 백도어 악성코드다. 이 악성코드는 윈도 플랫폼 애플리케이션 내 Dotfuscator 도구를 이용해 난독화된 것이 특징이다. 파일 작업, 프로세스 작업, 명령 실행, 스크린샷 캡처 등 감염 시스템을 제어할 수 있는 여러 기능들을 지원한다.

‘1th Troy’는 고(Go) 언어로 개발된 리버스셸(Reverse Shell) 악성코드다. 바이너리에 포함된 문자열을 통해 악성코드가 ‘Reverse_Base64_Pipe’로 명명된 것으로 알려졌다. ‘cmd’, ‘exit’, ‘self delete’ 등 명령을 지원하며, 명령 실행, 프로세스 종료, 자가 삭제 기능을 지원한다.

안다리엘 해킹그룹은 올해 3월에 국내 방산 및 전자장비 업체에 악성코드를 유포했을 때는 백도어 악성코드 타이거랫(TigerRat)이 함께 사용됐다. 타이거랫(TigerRat)은 RAT 악성코드로 파일 작업, 명령 실행과 같은 기본적인 기능들 외에도 정보 수집, 키로깅, 스크린 캡쳐, 포트 포워딩 등 다양한 기능들을 지원하며, C&C 서버와 최초로 통신할 때 인증 과정이 존재한다. 과거와 달리 이번에 확인된 뉴크스페드는 랜덤한 0x20 크기의 문자열이 사용됐다.

▲C&C 서버와의 인증에 사용된 문자열-최신 버전[자료=안랩 ASEC 분석팀]


블랙랫(Black RAT)은 공격자가 제작한 것으로 추정되는 백도어 악성코드로서, 고(Go) 언어로 제작됐다. 이전 공격에서 확인된 1th Troy 리버스 쉘은 단순한 명령 실행 기능만 지원하지만, 블랙랫은 명령 실행 외에도 파일 다운로드, 스크린 캡처와 같은 다양한 기능들을 지원한다. 바이너리에 포함된 문자열을 보면 악성코드 제작자가 해당 악성코드를 랫(RAT)으로 분류했으며, 이름을 블랙(Black)으로 지정한 것을 알 수 있다.

뉴크스페드(NukeSped) 백도어가 지원하는 기능은 네트워크 스캐닝, 프로세스, 파일 조회, 파일 업로드·다운로드, 명령 실행 등이다. 사용할 API들의 이름은 암호화돼 있으며, 이를 복호화한 이후에 직접 구해서 사용한다. 뉴크스페드 변종에서도 자가 삭제를 위한 Batch 스크립트가 사용되는데 이전 공격에서 사용된 유형과는 약간 다르다. 확인된 뉴크스페드 변종은 리버스셸(Reverse Shell) 방식과 바인드셸(Bind Shell) 방식 등 두 가지다.

최근에는 이노릭스 에이전트가 악성코드를 설치하는데 악용되고 있는 사례가 확인됐다. 해당 공격에서 확인된 악성코드들은 기존에 안다리엘 그룹이 사용한 유형은 아니지만, 이노릭스가 공격에 사용된 점 외에도 공격 대상이 국내 대학인 점은 과거 공격 사례와 비슷하다.

최근 국내 대학을 대상으로 한 공격에서 이노릭스 에이전트가 악성코드를 설치했던 사례가 확인됐다. 이노릭스 에이전트는 ‘iexplorer.exe’라는 이름으로 악성코드를 설치했는데, 이는 과거부터 안다리엘 해킹그룹이 자주 사용하는 이름 중 하나다. 공격에 사용된 악성코드는 Go 언어로 개발됐으며, 원본 소스 코드 정보를 확인할 수 있다.

▲이노릭스 에이전트를 악용해 Goat RAT을 설치[자료=안랩 ASEC 분석팀]


국내 기업 공격 사례를 보면, 이노릭스 에이전트를 악용한 공격 사례와 별개로 비슷한 시점에 안다르로더(AndarLoader) 공격을 확인했다. 대부분의 기능들이 직접 구현돼 있던 안다르도어(Andardoor) 악성코드와 달리 안다르로더 악성코드는 외부에서 닷넷 어셈블리와 같은 실행 가능한 데이터를 받아 실행하는 다운로더 기능이 전부다. 공격자가 안다르로더를 이용해 수행한 행위 중에는 미미카츠를 감염 시스템에 설치하는 로그도 확인된다.

안다르로더 악성코드는 공격 과정에서 두리안비컨(DurianBeacon) 이름의 악성코드가 함께 사용됐다. 두리안비컨은 Go 언어로 개발된 형태와 Rust 언어로 개발된 형태 2가지이며, 모두 백도어 악성코드로 C&C 서버에서 공격자의 명령을 받아 악성 행위를 수행할 수 있다. Go 언어로 개발된 두리안비컨은 C&C 서버와의 통신 시 SSL 프로토콜을 사용한다. 이 악성코드는 최초 접속 이후 감염 시스템의 IP 정보, 사용자 이름, 데스크톱 이름, 아키텍처, 파일명을 전송한다. 또한, 파일 다운로드·업로드, 조회, 명령 실행 등의 기능들이 있다.

▲DurainBeacon이 지원하는 기능들[자료=안랩 ASEC 분석팀]


SSL 프로토콜을 이용하기 때문에 통신 패킷은 암호화돼 있지만, 내부적으로는 패킷 구조가 사용된다. 명령 실행 이후에는 성공 여부나 명령 실행 결과를 C&C 서버에 전달하는데, 응답 또한 명령 패킷과 유사하다. 연관 파일들을 조사하던 중 러스트(Rust) 언어로 만들어진 두리안비컨도 공격에 사용된 것이 확인됐다. 두리안비컨은 C&C 서버와의 통신 방식 중 SSL 외에 XOR을 이용한 패킷 암호화를 지원한다. Go 버전과 비교했을 때 패킷 구조 및 명령도 같다. Rust 버전의 두리안비컨은 최초 접속 이후 ‘durian2023’ 키워드와 함께 감염 시스템의 IP 정보, 사용자 이름, 데스크톱 이름, 아키텍처, 파일명을 전송한 후 명령을 대기하며 명령 전달 시 결과를 반환한다.

▲최근 공격 사례에서 확인된 정보 탈취 악성코드[자료=안랩 ASEC 분석팀]


이노릭스 에이전트를 악용해 국내 대학을 공격한 사례와 스피어피싱으로 추정되는 공격으로 국내 기업에 악성코드를 설치한 사례가 같은 공격자의 소행으로 추정하고 있는 근거는 특정 시스템에서 Durian, Goat RAT, AndarLoader 악성코드가 유사한 시점에 함께 수집됐다는 점, 백도어 악성코드들의 C&C 서버가 공유된 사례 등에서 확인할 수 있다. 또한, 두리안비컨이 안다르로더를 설치한 로그도 확인됐다. 즉, 해당 공격들은 유사한 시점에 발생했으며, 각각의 악성코드가 설치 과정에서 또는 사용하는 C&C 서버의 주소에서 연관성을 보였다.

안다리엘 해킹그룹은 김수키, 라자루스 그룹과 함께 국내를 대상으로 활발하게 활동하고 있는 위협 그룹 중 하나다. 초기에는 주로 안보와 관련된 정보 획득을 위해 공격했지만, 이후에는 금전적 이득을 목적으로 한 공격도 수행하고 있다.

안랩 ASEC분석팀 관계자는 “사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 내려받은 실행 파일은 주의해야 한다. 그리고 OS와 인터넷 브라우저 등의 프로그램과 V3 등 백신을 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단하도록 노력해야 한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)