보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

북한 해킹그룹 안다리엘, 국내 기업 대상으로 APT 공격

입력 : 2024-06-08 07:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
안다리엘, 도라 RAT·네스트도어 등 악성코드 악용한 APT 공격...일부 도구 라자루스와 비슷
영국 소프트웨어 개발 업체 인증서 도용해 악성코드 서명
출처 불분명한 메일 첨부파일, 웹 페이지에서 내려받은 실행 파일 각별히 주의해야


[보안뉴스 박은주 기자] 북한 해킹그룹 ‘안다리엘’이 국내 제조업, 건설 업체와 교육기관을 대상으로 APT(Advanced Persistent Threat) 공격을 펼친 정황이 발견됐다. 악성코드를 감염시켜 시스템을 제어하고, 데이터를 탈취한 것이다.

[이미지=gettyimagesbank]


ASEC(안랩 시큐리티 인텔리전스 센터)에 따르면 안다리엘은 아파치 톰캣(Apache Tomcat)을 운영 중인 웹 서버를 공격해 악성코드를 유포했다. 2013년 제작된 아파치 톰캣이 동작하고 있어 다양한 취약점 공격이 가능한 조건이었다.

▲아파치 톰캣을 통해 설치된 악성코드[자료=ASEC]


안다리엘이 APT 공격 시 사용하는 악성코드는 △Dora(도라) RAT △네스트도어(Nestdoor)가 대표적이며 △백도어 △키로거(Keyloger) △클립로거(Cliploger) △스틸러(Stealer) △프록시 도구가 있다.

▲유효한 인증서로 서명된 도라RAT[자료=ASEC]

도라 RAT는 최근 새롭게 발견된 백도어 악성코드로 Go 언어로 제작됐다. 리버스 쉘, 파일 업·다운로드를 지원하는 단순한 형태를 띤다. 2가지 파일로 구분되는데 단독 실행 파일로 동작하는 유형과 explorer.exe 프로세스에 인젝션 돼 동작하는 탐색기 유형이다. 안다리엘은 유효한 인증서를 도용한 후 악성코드에 서명해 유포하기도 했다. ASEC에 따르면 영국 소프트웨어 개발 업체 인증서로 밝혀졌다.

네스트도어는 안다리엘이 자주 사용하는 공격 도구로 공격자 명령을 전달받아 감염 시스템을 제어할 수 있는 RAT 악성코드다. 2022년 VMware Horizon 제품의 Log4Shell 취약점을 공격할 때 사용된 TigerRAT과 동일한 C&C 서버를 공유하는 것으로 드러났다. 즉 국내 기업을 대상으로 하는 공격과 더불어 Log4Shell 취약점을 악용한 공격 등 여러 공격에 함께 사용되는 셈이다.

▲공격에 사용된 프록시 도구[자료=ASEC]


ASEC는 “구체적인 유포 경로는 확인되지 않았지만 2024년 초에는 OpenVPN을 위장해 유포한 사례가 확인됐다”고 밝혔다. 특히 네스트도어는 작업 스케줄러에 악성코드를 등록해 감염 지속성을 유지하며 C&C 서버와 통신한다. 이때 작업 스케줄러가 치료되지 않을 시 해당 시스템에는 지속해서 감염이 이뤄지게 된다. 한편, 공격에 사용된 프록시 도구는 라자루스 그룹 공격 사례에서 발견되기도 했다.

안다리엘은 안보와 관련 정보를 획득하기 위해 공격을 전개하던 과거와 달리 금전적 이득을 목적으로 한 공격을 수행하고 있다. 초기 침투 시 주로 스피어 피싱 공격이나 워터링 홀 공격, 소프트웨어 취약점을 노린다는 특징이 있다. 주로 추가적인 취약점을 이용해 악성코드를 내부망에 유포하는 정황이 확인됐다.

이를 예방하기 위해서는 출처가 불분명한 메일 첨부파일이나 웹 페이지에서 내려받은 실행 파일은 각별히 주의해야 한다. 기업보안 담당자는 자산관리 솔루션이나 접근통제 솔루션 등 기업에서 사용하는 소프트웨어와 OS, 인터넷 브라우저 등 프로그램을 최신 버전으로 업데이트해 취약점 공격을 예방해야 한다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)