Posted By Sanseo , 2023년 12월 22일

Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석

북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]

Kimsuky 그룹은 일반적으로 초기 침투 경로로서 스피어 피싱 공격을 주로 사용하는데, 최근에는 LNK 포맷의 바로 가기 악성코드들을 이용한 공격 사례들이 다수를 차지하고 있다. 물론 LNK 악성코드가 최근 공격 사례에서 차지하는 비중이 높기는 하지만 JavaScript 악성코드나 악성 문서 파일을 이용하는 공격 사례도 지속적으로 확인된다.

JavaScript 악성코드를 이용하는 공격 사례는 과거 “Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)”에서 다루었던 AppleSeed 악성코드 유포에 주로 사용된다. [3] 해당 포스팅은 2021년 11월에 공개하였지만 Kimsuky 그룹은 최근까지도 AppleSeed를 공격에 사용하고 있다. 물론 AppleSeed 설치 시 JavaScript뿐만 아니라 엑셀 매크로 악성코드가 사용되기도 한다. [4]

함께 사용하는 악성코드들의 큰 변화가 없이 유사한 공격 방식을 수년간 지속적으로 사용하고 있다는 점은 AppleSeed를 이용한 공격의 특징이라고 할 수 있다. 또한 감염 시스템을 장악한 이후 추가적으로 사용하는 정보 탈취 악성코드나 RDP Patch 악성코드들이 2022년에 최초로 확인된 이후 지금까지도 동일한 파일이 사용되고 있다는 점도 그렇다.

여기에서는 이전 보고서와 비교하여 최근 공격 사례에서 사용된 악성코드들의 특징들을 다룬다. 예를 들어 AppleSeed 자체는 동일하게 사용되고 있지만 분석을 방해하기 위해 인자를 검사한다는 점이나 AlphaSeed라고 이름 붙여진 AppleSeed 변종 악성코드가 사용되는 점이 있다. 이외에도 AppleSeed 설치 이후 주로 RDP를 이용해 감염 시스템을 제어했던 과거와 달리 최근에는 크롬 원격 데스크톱을 설치하는 사례가 자주 확인되는 점도 특징이다. [5]

1. AppleSeed

AppleSeed는 C&C 서버로부터 전달받은 공격자의 명령을 수행할 수 있는 백도어 악성코드이다. 공격자는 AppleSeed를 이용해 감염 시스템을 제어할 수 있으며 이외에도 추가 악성코드를 설치하는 다운로더 기능과 키로깅 및 스크린 캡쳐 그리고 사용자 시스템의 파일들을 수집하여 전송하는 정보 탈취 기능들을 지원한다.

AppleSeed는 과거 공격 사례들과 동일하게 JavaScript 드로퍼 악성코드를 이용한 유포 방식이 자주 사용되고 있다. JavaScript 드로퍼 악성코드는 AppleSeed를 설치하면서 동시에 HWP, PDF와 같은 문서 파일을 생성해 보여주는 기능을 담당하는데, 이러한 점 때문에 일반 사용자들은 정상적으로 문서 파일을 실행한 것으로 착각할 수 있다.

설치되는 AppleSeed 악성코드 자체는 과거와 유사하지만 2022년 초부터는 JavaScript 악성코드가 직접 AppleSeed를 설치하는 대신 드로퍼를 거쳐 AppleSeed를 생성하는 방식으로 변경되었다. 단순하게 드로퍼만 설치 과정에서 추가된 것이 아니라 악성코드 실행 시 인자를 검사하는 기능이 추가된 것이 특징이다. DLL 형태의 AppleSeed는 Regsvr32 프로세스를 이용해 설치되는데 이때 “/i” 옵션을 이용해 인자를 전달한다. AppleSeed는 해당 인자를 검사하여 특정 문자열일 경우에만 설치되며 아닐 경우에는 자가 삭제한다. 이러한 점 때문에 샌드박스 환경에서는 AppleSeed DLL 단독으로는 악의적인 행위를 수행할 수 없게 된다.

AppleSeed 실행 인자 – 예시 : regsvr32.exe /s /n /i:1qa2ws4rf “C:\Users\{UserName}\AppData\Roaming\FoxitReader\Service\FoxitReaderUpdate.db”

기간	인자 목록
과거	123qweasdzxc 123qweASDTYU 12345QWERTY 1q2w3e4r! 2wsx!QAZ3edc $%ERT345ert
최근	12qw3ed 1qa2ws4rf

Table 1. AppleSeed 설치 시 사용되는 인자

AppleSeed는 “%APPDATA%”나 “%PROGRAMDATA%” 경로에 설치되는데 구체적인 폴더 및 파일의 이름은 AntiVirus나 Chrome, Adobe 등 정상 파일을 위장한 형태이다. 과거에는 주로 “%PROGRAMDATA%” 경로에 설치되는 사례가 많았다면 최근에는 “%APPDATA%” 경로가 자주 사용된다. 다음 표는 AppleSeed가 설치되었던 다양한 경로들을 정리하였으며 최근 수개월간 확인된 공격에서 사용된 경로명은 따로 분류하였다.

기간	설치 경로
과거	%APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll %APPDATA%\ESTsoft\AlLUpdate\AlCommon.dll %APPDATA%\ESTsoft\Common\ESTCommon.dll %APPDATA%\ESTsoft\Common\ko-kr.dll %APPDATA%\ESTsoft\updat\ESTCommon.dll %APPDATA%\Microsoft\Windows\Defender\AutoUpdate.dll %APPDATA%\Microsoft\Windows\Defender\patch.dll %PROGRAMDATA%\Firmware\ESTsoft\Common\ESTCommon.dll %PROGRAMDATA%\Firmware\Microsoft\Windows\Defender\AutoUpdate.dll %PROGRAMDATA%\Software\Ahnlab\Service\AutoService.dll %PROGRAMDATA%\Software\ControlSet\Service\ServiceScheduler.dll %PROGRAMDATA%\Software\Defender\Windows\Update\AutoUpdate.dll %PROGRAMDATA%\Software\ESTsoft\Common\ESTCommon.dll %PROGRAMDATA%\Software\Microsoft\AvastAntiVirus\AvastUpdate.dll %PROGRAMDATA%\Software\Microsoft\Avg\AvgSkin.dll %PROGRAMDATA%\software\microsoft\iecleaner\cpature\iecaptureclean.dll %PROGRAMDATA%\Software\Microsoft\Network\NetworkService.dll %PROGRAMDATA%\Software\Microsoft\Printer\PrinterService.dll %PROGRAMDATA%\Software\Microsoft\Service\TaskScheduler.dll %PROGRAMDATA%\Software\Microsoft\Windows\AutoDefender\UpdateDB.dll %PROGRAMDATA%\Software\Microsoft\Windows\AutoPatch\patch.dll %PROGRAMDATA%\Software\Microsoft\Windows\Chrome\GoogleUpdate.dll %PROGRAMDATA%\Software\Microsoft\WIndows\Defender\AutoCheck.dll %PROGRAMDATA%\Software\Microsoft\Windows\Defender\AutoUpdate.dll %PROGRAMDATA%\Software\Microsoft\Windows\Defender\update.dll %PROGRAMDATA%\Software\Microsoft\Windows\Explorer\FontChecker.dll %PROGRAMDATA%\Software\Microsoft\Windows\FontChecker.dll %PROGRAMDATA%\Software\Microsoft\Windows\MDF\WDFSync\WDFSync.dll %PROGRAMDATA%\Software\Microsoft\Windows\MetaSec\MetaSecurity.dll %PROGRAMDATA%\Software\Microsoft\Windows\Patch\patch.dll %PROGRAMDATA%\Software\Microsoft\Windows\Protect\ProtectUpdate.dll %PROGRAMDATA%\Software\Microsoft\Windows\Secrity\AutoCheck.dll
최근	%APPDATA%\Abode\Service\AdobeService.dll %APPDATA%\Acrobatreader\Service\AcrobatReaderUpdate.db %APPDATA%\chrome\Service\updategoogle.dll %APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll %APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db %APPDATA%\ProtectSoft\Update\Service\ProtectSoftUpdate.db

기간

설치 경로

과거

%APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll
%APPDATA%\ESTsoft\AlLUpdate\AlCommon.dll
%APPDATA%\ESTsoft\Common\ESTCommon.dll
%APPDATA%\ESTsoft\Common\ko-kr.dll
%APPDATA%\ESTsoft\updat\ESTCommon.dll
%APPDATA%\Microsoft\Windows\Defender\AutoUpdate.dll
%APPDATA%\Microsoft\Windows\Defender\patch.dll
%PROGRAMDATA%\Firmware\ESTsoft\Common\ESTCommon.dll
%PROGRAMDATA%\Firmware\Microsoft\Windows\Defender\AutoUpdate.dll
%PROGRAMDATA%\Software\Ahnlab\Service\AutoService.dll
%PROGRAMDATA%\Software\ControlSet\Service\ServiceScheduler.dll
%PROGRAMDATA%\Software\Defender\Windows\Update\AutoUpdate.dll
%PROGRAMDATA%\Software\ESTsoft\Common\ESTCommon.dll
%PROGRAMDATA%\Software\Microsoft\AvastAntiVirus\AvastUpdate.dll
%PROGRAMDATA%\Software\Microsoft\Avg\AvgSkin.dll
%PROGRAMDATA%\software\microsoft\iecleaner\cpature\iecaptureclean.dll
%PROGRAMDATA%\Software\Microsoft\Network\NetworkService.dll
%PROGRAMDATA%\Software\Microsoft\Printer\PrinterService.dll
%PROGRAMDATA%\Software\Microsoft\Service\TaskScheduler.dll
%PROGRAMDATA%\Software\Microsoft\Windows\AutoDefender\UpdateDB.dll
%PROGRAMDATA%\Software\Microsoft\Windows\AutoPatch\patch.dll
%PROGRAMDATA%\Software\Microsoft\Windows\Chrome\GoogleUpdate.dll
%PROGRAMDATA%\Software\Microsoft\WIndows\Defender\AutoCheck.dll
%PROGRAMDATA%\Software\Microsoft\Windows\Defender\AutoUpdate.dll
%PROGRAMDATA%\Software\Microsoft\Windows\Defender\update.dll
%PROGRAMDATA%\Software\Microsoft\Windows\Explorer\FontChecker.dll
%PROGRAMDATA%\Software\Microsoft\Windows\FontChecker.dll
%PROGRAMDATA%\Software\Microsoft\Windows\MDF\WDFSync\WDFSync.dll
%PROGRAMDATA%\Software\Microsoft\Windows\MetaSec\MetaSecurity.dll
%PROGRAMDATA%\Software\Microsoft\Windows\Patch\patch.dll
%PROGRAMDATA%\Software\Microsoft\Windows\Protect\ProtectUpdate.dll
%PROGRAMDATA%\Software\Microsoft\Windows\Secrity\AutoCheck.dll

최근

%APPDATA%\Abode\Service\AdobeService.dll
%APPDATA%\Acrobatreader\Service\AcrobatReaderUpdate.db
%APPDATA%\chrome\Service\updategoogle.dll
%APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll
%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db
%APPDATA%\ProtectSoft\Update\Service\ProtectSoftUpdate.db

Table 2. AppleSeed 설치 경로

2. AlphaSeed

AlphaSeed는 Go 언어로 개발된 악성코드로서 명령 수행이나 정보 탈취 등 지원하는 기능들이 AppleSeed와 유사하다. 이러한 유사점과 바이너리에 포함된 경로명을 통해 S2W 사에서는 해당 악성코드를 AlphaSeed로 명명하였다. [6]

AppleSeed와 비교해서 대부분의 기능들은 유사하지만 차이점도 존재하는데 Go 언어로 개발되었다는 점이나 ChromeDP를 이용해 C&C 통신을 한다는 점이 그것이다. AppleSeed는 공격자로부터 명령을 전달받거나 수집한 정보를 탈취할 때 주로 HTTP 프로토콜이나 이메일 즉 SMTP, IMAPS 프로토콜을 이용하였다. AlphaSeed도 C&C 통신에 이메일을 사용하지만 직접 메일을 발송하는 대신 ChromeDP라고 하는 도구를 이용한다. 로그인 과정도 다른데 직접 ID / PW를 이용하는 대신 특정 계정으로 로그인하기 위해 필요한 Cookie 값을 이용해 로그인하는 것이 특징이다.

AlphaSeed는 최소한 2022년 10월 이전부터 공격에 사용되고 있으며 AppleSeed와 동일하게 공격에 JavaScript 드로퍼 악성코드가 사용된다. 바이너리 자체도 Regsvr32 프로세스를 이용해 동작하는 DLL 포맷이기 때문에 실제 설치 과정도 AppleSeed와 유사하다.

공격자는 동일한 대상에 대해 AlphaSeed와 AppleSeed를 함께 설치하기도 한다. 다음 사례에서는 최초 유포 단계는 확인되지 않지만 거의 동일한 시점에 AlphaSeed와 AppleSeed가 설치되었으며, certutil.exe가 사용되는 것을 보면 대부분의 사례처럼 JavaScript 드로퍼에 의해 설치된 것으로 추정된다.

Figure 2. 함께 공격에 사용된 AlphaSeed와 AppleSeed

2022년 10월 경에 확인된 AlphaSeed는 바이너리에서 확인되는 경로명이 “E:/golang/src/naver_crawl/”였으며, 2023년 5월 경부터 최근까지 공격에 사용된 바이너리에서는 “E:/Go_Project/src/alpha/naver_crawl_spy/” 경로가 확인되고 있다.

3. Meterpreter

메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 미터프리터(Meterpreter)는 메타스플로잇에서 제공하는 백도어 악성코드로서 감염 시스템을 제어하는 목적으로 사용된다.

Kimsuky 그룹은 AppleSeed를 이용한 공격 과정에서 미터프리터를 자주 사용해 왔다. [7] 2023년 상반기에는 Go 언어로 개발된 미터프리터 스테이저(Stager)가 확인되었는데, [8] 최근 유포되고 있는 미터프리터는 다시 Go 언어가 아닌 C++을 이용해 자체 제작된 것이 특징이다.

4. VNC – TightVNC, HVNC(TinyNuke)

Kimsuky 그룹은 감염 시스템을 제어하기 위해 RDP 외에 VNC 악성코드들을 직접 제작해서 사용하기도 한다. [9] 최초 확인되었을 때부터 최근까지 확인된 유형은 TightVNC와 HVNC 두 가지가 있다.

TightVNC는 오픈 소스 VNC 유틸리티인데 공격자는 이를 커스터마이징해서 사용한다. Kimsuky 그룹에서 유포하는 TightVNC는 감염 환경에서 서비스 설치 없이 단독으로 Reverse VNC 기능을 사용할 수 있도록 수정된 형태이다. 이에 따라 단순히 tvnserver를 실행만 하더라도 C&C 서버에서 동작하는 tvnviewer에 접속하여 공격자는 감염 시스템에 대한 화면 제어가 가능해진다.

Nuclear Bot이라고도 알려진 TinyNuke는 2016년부터 확인된 뱅킹 악성코드로서 HVNC (HiddenDesktop/VNC), Reverse SOCKS4 프록시, 웹 브라우저 폼 그래빙과 같은 기능들을 포함한다. TinyNuke는 2017년경 소스 코드가 공개됨에 따라 다양한 공격자들에 의해 사용되고 있으며, 그중에서 HVNC, Rverse SOCKS4 Proxy 기능은 AveMaria, BitRAT과 같은 다른 악성코드들에 의해 부분적으로 차용되는 방식으로 사용되고 있다.

Kimsuky 그룹은 TinyNuke가 지원하는 다양한 기능들 중에서 HVNC 기능만 활성화하여 유포한다. TinyNuke는 서버와 클라이언트 간 HVNC 통신을 확립할 때 “AVE_MARIA” 문자열을 이용해 검증하는데, Kimsuky 그룹은 이 문자열을 그대로 사용하기도 하지만 “LIGHT’S BOMB” 문자열을 사용하기도 하였다. 2022년 상반기부터는 “Alpha’s nuke”라는 문자열을 사용했었는데 이는 최근 확인된 유형도 동일하다.

5. 결론

Kimsuky 공격 그룹은 국내 사용자들을 대상으로 지속적으로 스피어 피싱 공격을 수행하고 있다. 주로 메일의 첨부 파일로서 문서 파일을 위장한 악성코드를 유포하는 방식이며 사용자가 이를 실행할 경우 현재 사용 중인 시스템에 대한 제어가 탈취될 수 있다.

Kimsuky 공격 그룹은 감염 시스템에 대한 제어를 탈취하기 위해 AppeSeed나 Meterpreter 그리고 VNC 악성코드들을 사용하고 있으며, 윈도우 시스템에 기본적으로 존재하는 RDP 원격 데스크톱 서비스를 악용하기도 한다. 최근에는 원격 제어를 위해 구글 크롬의 원격 데스크톱 기능을 악용하는 사례도 확인되고 있다.

사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Backdoor/Win.AppleSeed.C5565172 (2023.12.21.00)
– Backdoor/Win.AppleSeed.R626582 (2023.12.04.02)
– Malware/Win.Agent.R628198 (2023.12.18.02)
– Trojan/Win.VNC.C5563987 (2023.12.18.03)
– Trojan/Win.TinyNuke.C5563988 (2023.12.18.03)
– Backdoor/Win.AppleSeed.C5563985 (2023.12.18.03)
– Backdoor/Win.AlphaSeed.R628550 (2023.12.21.03)
– Malware/Win.Agent.R628198 (2023.12.18.02))
– Backdoor/Win.AlphaSeed.R628552 (2023.12.21.03)
– Backdoor/Win.Iedoor.R626024 (2023.11.29.02)
– Backdoor/Win.Iedoor.R625563 (2023.11.27.03)
– Backdoor/Win.AppleSeed.R625539 (2023.11.27.02)
– Dropper/Win.AppleSeed.R625538 (2023.11.27.02)
– Backdoor/Win.AppleSeed.R624029 (2023.11.24.00)
– Backdoor/Win.AppleSeed.R625553 (2023.11.27.03)
– Backdoor/Win.AppleSeed.C5502219 (2023.10.08.03)

행위 진단
– Execution/MDP.Regsvr32.M4470

IOC
MD5
– db5fc5cf50f8c1e19141eb238e57658c : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll
– 6a968fd1608bca7255c329a0701dbf58 : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
– cafc26b215550521a12b38de38fa802b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
– 76831271eb117b77a57869c80bfd6ba6 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
– b5d3e0c3c470d2d41967229e17259c87 : AppleSeed (%APPDATA%\chrome\Service\updategoogle.dll)
– 4511e57ae1eacdf1c2922bf1a94bfb8d : AppleSeed (%APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll)
– 02843206001cd952472abf5ae2b981b2 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
– 8aeacd58d371f57774e63d217b6b6f98 : AppleSeed (%APPDATA%\Acrobatreader\Service\AcrobatReaderUpdate.db)
– cacf04cd560b70eaaf0e75f3da9a5e8f : AppleSeed (%APPDATA%\ProtectSoft\Update\Service\ProtectSoftUpdate.db)
– 7a7937f8d4dcb335e96db05b2fb64a1b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
– f3a55d49562e41c7d339fb52457513ba : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
– 5d3ab2baacf2ad986ed7542eeabf3dab : AppleSeed Dropper
– d4ad31f316dc4ca0e7170109174827cf : AppleSeed Dropper
– 1f7d2cbfc75d6eb2c4f2b8b7a3eec1bf : AppleSeed Dropper
– ae9593c0c80e55ff49c28e28bf8bc887 : AppleSeed Dropper
– b6f17d59f38aba69d6da55ce36406729 : AppleSeed Dropper
– 153383634ee35b7db6ab59cde68bf526 : AppleSeed Dropper
– c560d3371a16ef17dd79412f6ea99d3a : AppleSeed Dropper
– 0cce02d2d835a996ad5dfc0406b44b01 : AppleSeed Dropper
– d94c6323c3f77965451c0b7ebeb32e13 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– 52ff761212eeaadcd3a95a1f8cce4030 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– 4cb843f2a5b6ed7e806c69e6c25a1025 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– b6ab96dc4778c6704b6def5db448a020 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– 232046aff635f1a5d81e415ef64649b7 : Meterpreter (%PROGRAMDATA%\setting.dat)
– 58fafabd6ae8360c9d604cd314a27159 : Meterpreter (%SystemRoot%\system32\setting.db)
– e582bd909800e87952eb1f206a279e47 : Meterpreter (%SystemRoot%\system32\service.db)
– ac99b5c1d66b5f0ddb4423c627ca8333 : Meterpreter
– e34669d56a13d607da1f76618eb4b27e : TinyNuke (HVNC)
– ee76638004c68cfc34ff1fea2a7565a7 : TightVNC

C&C 주소
– hxxp://bitburny.kro[.]kr/aha/ : AppleSeed
– hxxp://bitthum.kro[.]kr/hu/ : AppleSeed
– hxxp://doma2.o-r[.]kr// : AppleSeed
– hxxp://my.topton.r-e[.]kr/address/ : AppleSeed
– hxxp://nobtwoseb1.n-e[.]kr// : AppleSeed
– hxxp://octseven1.p-e[.]kr// : AppleSeed
– hxxp://tehyeran1.r-e[.]kr// : AppleSeed
– hxxp://update.ahnlaib.kro[.]kr/aha/ : AppleSeed
– hxxp://update.doumi.kro[.]kr/aha/ : AppleSeed
– hxxp://update.onedrive.p-e[.]kr/aha/ : AppleSeed
– hxxp://yes24.r-e[.]kr/aha/ : AppleSeed
– 104.168.145[.]83:993 : Meterpreter
– 159.100.6[.]137:993 : Meterpreter
– 38.110.1[.]69:993 : Meterpreter
– 107.148.71[.]88:993 : Meterpreter
– 45.114.129[.]138:33890 : TinyNuke (HVNC)
– 45.114.129[.]138:5500 : TightVNC