AhnLab Security Emergency response Center(ASEC)은 최근 Andariel 위협 그룹의 공격을 모니터링하던 중 Andariel 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다.
주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업 및 기관들이 공격 대상이 되고 있다. [1]
Andariel 위협 그룹은 과거부터 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이용해 왔으며 [2] 최근에는 Log4Shell 취약점이나 [3] 부적절하게 관리되는 MS-SQL 서버를 대상으로 한 공격 그리고 정상 소프트웨어를 악용하는 공격 사례도 확인되고 있다. [4]
현재 기준 직접적인 로그는 존재하지 않지만 정황상 Andariel 그룹이 Apache ActiveMQ 서버에 대한 원격 코드 실행 취약점을 악용하여 NukeSped, TigerRat 백도어를 설치하고 있는 것으로 추정된다. 여기에서는 Apache ActiveMQ 서버 대상 공격 사례들과 함께 Andariel 그룹이 공격에 이를 악용하는 것으로 추정하는 근거들을 정리한다.
1. Apache ActiveMQ 취약점 공격 사례
CVE-2023-46604는 오픈 소스 메시징 및 통합 패턴 서버인 Apache ActiveMQ 서버의 원격 코드 실행 취약점이다. 만약 패치되지 않은 Apache ActiveMQ 서버가 외부에 노출되어 있을 경우 공격자는 원격에서 악의적인 명령을 실행하여 해당 시스템을 장악할 수 있다.
해당 취약점 정보가 공개된 이후 다양한 공격자들이 이를 악용해 악성코드를 설치하고 있는데 대표적으로 Rapid7 사에서 공개한 HelloKitty 랜섬웨어 공격 사례가 있다. [5] 해당 사례는 자사 AhnLab Smart Defense (ASD) 로그에서도 확인되며 이는 국내 시스템들도 CVE-2023-46604 취약점 공격에 대상이 되고 있는 것을 의미한다.
Figure 1. HelloKitty 랜섬웨어 설치 시도 로그
ASEC에서는 Andariel 그룹의 공격을 모니터링하던 중 Andariel 그룹이 과거부터 사용하던 NukeSped 백도어가 특정 시스템에 설치된 것을 확인하였다. 조사 결과 해당 시스템에는 Apache ActiveMQ 서버가 설치되어 있었으며 CVE-2023-46604 취약점 정보가 공개된 2023년 10월 말부터 HelloKitty 랜섬웨어를 포함한 다양한 공격 로그가 확인되었다.
Figure 2. 감염 시스템에서 확인되는 다양한 공격 로그들
공격자는 취약점 공격 과정에서 다음과 같은 악성 자바 클래스 파일을 사용하였으며 해당 악성코드는 최종적으로 윈도우 또는 리눅스 환경에서 추가 페이로드를 다운로드해 설치하는 기능을 담당한다. 이 악성코드는 최근 Huntress 사의 보고서에서도 확인되는 공격 사례이다. [6]
Figure 3. 다운로더 기능을 담당하는 악성 자바 클래스 파일
이렇게 알려진 공격 외에도 코발트 스트라이크 및 Metasploit Meterpreter의 Stager 설치 로그도 함께 확인되었다. 이를 통해 CVE-2023-46604 취약점 관련 정보가 공개된 것은 얼마 되지 않지만 패치되지 않은 시스템은 이렇게 짧은 기간 동안에도 수많은 공격의 대상이 되고 있다는 점을 알 수 있다.
Figure 4. Metasploit Meterpreter의 Stager를 설치하는 로그
Figure 5. 코발트 스트라이크 비컨의 설정 데이터 by CobaltStrikeParser [7]
2. NukeSped 악성코드 – Andariel 그룹
2.1. CVE-2023-46604 취약점 공격 정황
다양한 Apache ActiveMQ 대상 공격이 이루어진 시스템들을 분석하던 중 Andariel 그룹의 NukeSped 백도어가 함께 설치된 시스템이 확인되었다. 비록 CVE-2023-46604 취약점을 이용해 NukeSped가 설치되었다는 직접적인 로그는 확인되지 않지만 해당 취약점 공격을 제외하면 다른 공격 정황이 확인되지 않는 점과 공격이 이루어지던 기간 도중에 악성코드 설치 로그가 함께 확인된 점을 보면 Andariel 그룹이 CVE-2023-46604 취약점을 공격에 사용했을 가능성이 존재한다.
분석 대상 시스템은 최초로 CVE-2023-46604 취약점을 악용한 공격이 확인된 10월 말부터 지속적으로 공격 대상이 되었다. 구체적으로 Rapid7 사의 보고서에서 언급된 HelloKitty 랜섬웨어와 Huntress 사의 보고서에서 언급된 다운로더 악성코드가 함께 확인되는 것을 보아 취약한 Apache ActiveMQ 서버로 추정된다. Huntress의 보고서에는 구체적인 악성코드는 언급되어 있지 않지만 CVE-2023-46604 취약점 공격을 통해 “hxxp://27.102.128[.]152:8098/bit[.]ico” URL에서 악성 페이로드를 설치하는 사례도 소개하였다.
이 주소는 이전 블로그에서도 언급된 URL로서 TigerRat이 다운로드된 주소이다. 또한 다음 로그에서 확인되는 “oracle.exe” 악성코드가 다운로드된 주소이자 C&C 서버 주소이기도 하다. 비록 해당 악성코드는 수집되지 않았지만 “rang.exe”, “load.exe”라는 이름으로 TigerRat을 설치하였다.
Figure 6. TigerRat을 설치하는데 사용된 주소
물론 Andariel 그룹은 과거에도 Log4Shell 취약점이나 TeamCity 취약점 [8] 등 공개된 취약점들을 공격에 자주 사용해 왔다.
2.2. NukeSped 백도어
NukeSped는 C&C 서버로부터 명령을 받아 감염 시스템을 제어할 수 있는 백도어 악성코드이다. 주로 Lazarus 그룹과 Andariel 그룹이 감염 시스템을 제어하기 위해 사용하며, 공격에 사용된 NukeSped는 과거 “자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹)” 블로그에서 소개했던 “NukeSped 변종 – Type 1”과 유사하다.
이번에 사용된 NukeSped는 파일 다운로드 / 명령 실행 / 실행 프로세스 종료 등 3개의 명령만을 지원한다. 이전 공격 사례의 NukeSped는 훨씬 많은 명령을 지원했지만 이를 제외하면 대부분의 기능이 동일하다.
전형적인 NukeSped 유형들과 유사하게 사용할 API들의 주소나 문자열들은 모두 암호화되어 있으며 실행 도중에 복호화 되어 사용된다. 암호화 방식은 1 바이트 XOR 알고리즘으로서 키값은 0xA1이다. 이전 공격 사례에서는 0xA1 외에도 0x97, 0xAB 키값이 사용되었다.
Figure 7. 0xA1 키로 XOR 암호화된 문자열
NukeSped는 처음 C&C 서버에 접속하면 다음과 같은 포맷의 HTTP 요청을 전송한다.
Figure 8. 최초 C&C 서버 연결 시 패킷
| HTTP 요청 헤더 | 값 | 설명 |
|---|---|---|
| Sec-Fetch-Mode | 10 (0x0A) | 최초 연결 |
| Sec-Fetch-User | S-[컴퓨터 이름] | 감염 시스템의 컴퓨터 이름 |
| Sec-Fetch-Dest | 01 | 최초 연결 |
Table 1. 최초 C&C 서버 연결 시 포맷
이후 C&C 서버로부터 HTTP 응답을 전달받으며 다음 표에 존재하는 각각의 문자열들을 검사한다. 각각의 문자열들이 응답에 존재하는 경우에는 “Sec-Fetch-Mode:”의 값을 명령으로 인지하고 이후 루틴을 진행한다.
| HTTP 응답 헤더 | 설명 |
|---|---|
| “HTTP/1.1 200 OK Content-Type: text/html ” |
기본 응답 포맷 |
| “Sec-Fetch-Mode:” | 명령 |
| “Content-Length:” | 명령의 길이 |
Table 2. C&C 서버로부터 전달받는 명령 포맷
지원 가능한 명령은 다음과 같이 3개이며 실질적으로 C&C 서버로부터 파일을 다운로드하는 것과 C&C 서버로부터 전달받은 명령을 실행하고 그 결과를 전달하는 것이 전부이다.
| 명령 | 기능 |
|---|---|
| 30 (0x1E) | 파일 다운로드 |
| 33 (0x21) | 명령 실행 및 결과 반환 |
| 34 (0x22) | 실행 프로세스 종료 |
Table 3. NukeSped가 지원하는 명령
최초 C&C 서버와의 통신 시에는 POST 메소드를 이용하였지만 이후 C&C 서버로부터 전달받은 명령을 수행한 결과 및 명령 실행 실패 메시지는 구글 접속을 위장한 GET 메소드를 이용해 전송한다.
Figure 9. 명령 실행 실패 메시지에 대한 응답 패킷
| Sec-Fetch-Mode | 내용 |
|---|---|
| 10 (0x0A) | 최초 연결 |
| 30 (0x1E) | 명령 실행 결과 |
| 35 (0x23) | 명령 실행 실패 메시지 |
Table 4. 명령 수행 결과 전송 시 포맷
정상적으로 C&C 서버와 연결이 되지 않은 경우에는 일반적인 NukeSped 백도어들과 유사하게 Batch 파일을 이용해 자가 삭제를 진행한다. 자가 삭제에 사용되는 Batch 파일은 “%TEMP%uninst.bat” 경로에 생성된다.
Figure 10. 자가 삭제에 사용되는 Batch 파일
3. 결론
Andariel 그룹은 Kimsuky, Lazarus 그룹과 함께 국내를 대상으로 활발하게 활동하고 있는 위협 그룹들 중 하나이다. 초기에는 주로 안보와 관련된 정보를 획득하기 위해 공격을 전개하였지만 이후에는 금전적 이득을 목적으로 한 공격도 수행하고 있다. [8] 초기 침투 시 주로 스피어 피싱 공격이나 워터링 홀 공격이 사용되지만 Log4Shell이나 TeamCity 취약점 등 취약점을 악용해 악성코드를 설치하는 사례도 확인되고 있다. 최근에는 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 정황이 확인되었다.
사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 기업 보안 담당자는 자산 관리 프로그램의 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치를 수행하여야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Trojan/Win32.Dynamer.R162477 (2015.08.19.00)
– Trojan/Win64.CobaltStrike.R356638 (2020.11.26.05)
– Backdoor/Win.NukeSped.C5542399 (2023.11.16.01)
– Trojan/Win.Generic.C5483470 (2023.09.08.03)
– Trojan/Win.Generic.C5532844 (2023.10.28.01)
– Backdoor/Win.TigerRAT.C5517634 (2023.10.19.03)
– Trojan/CLASS.Agent (2023.11.03.00)
– Dropper/MSI.Agent (2023.11.17.03)
행위 진단
– Malware/MDP.Download.M1900
– Ransom/MDP.Command.M2255
IOC
MD5
– 7699ba4eab5837a4ad9d5d6bbedffc18 : NukeSped (credisvc.exe)
– c2f8c9bb7df688d0a7030a96314bb493 : TigerRat (load.exe, rang.exe)
– 478dcb54e0a610a160a079656b9582de : HelloKitty Installer
– 26ff72b0b85e764400724e442c164046 : HelloKitty Ransomware
– 4eead95202e6a0e4936f681fd5579582 : Java Downloader
– 160f7d2307bbc0e8a1b6ac03b8715e4f : Java Downloader
– 11ec319e9984a71d80df1302fe77332d : Downloader (agent_w.exe)
– dc9d60ce5b3d071942be126ed733bfb8 : Downloader (agent_w.exe)
– beb219abe2ba5e9fd7d51a178ac2caca : Metasploit Meterpreter Stager
– c55eb07ef4c07e5ba63f7f0797dfd536 : CobaltStrike Installer (Notification.msi)
– 31cbc75319ea60f45eb114c2faad21f9 : CobaltStrike (Notification.exe)
C&C 서버
– 27.102.114[.]215:8000 : NukeSped
– 137.175.17[.]221:48084 : Downloader
– 137.175.17[.]172:41334 : Downloader
– 176.105.255[.]60:49407 : Metasploit Meterpreter Stager
– hxxps://206.166.251[.]186/jquery-3.3.1.min.js : CobaltStrike
다운로드 주소
– hxxp://137.175.17[.]221:1443/ac.jar : Java Downloader
– hxxp://137.175.17[.]172:1443/ac3.jar : Java Downloader
– hxxp://137.175.17[.]221:1443/agent : Downloader (Linux)
– hxxp://137.175.17[.]221:1443/agent_w : Downloader (Windows)
– hxxp://137.175.17[.]172:1443/agent : Downloader (Linux)
– hxxp://137.175.17[.]172:1443/agent_w : Downloader (Windows)
– hxxp://176.105.255[.]60/Xdw0FFtpuYWSLrVcAei5zg : Metasploit Meterpreter Stager
– hxxp://168.100.9[.]154:9090/Notification.msi : CobaltStrike Installer
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보