AhnLab EDR을 활용한 Kimsuky 그룹의 스피어 피싱 공격 탐지 (AppleSeed, AlphaSeed)
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]
Kimsuky 그룹은 공격에 따라 다양한 악성코드들을 사용하는데 대표적으로 AppleSeed와 AlphaSeed 악성코드를 설치하는 사례가 있다. 이러한 공격은 수년 전부터 지속되고 있으며 과거 “Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)” [3] 와 최근 공개한 “Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석” [4] 에서 상세하게 다루었다.
여기에서는 수년간 지속된 Kimsuky 그룹의 스피어 피싱 공격을 AhnLab EDR을 활용해 탐지하는 사례를 다룬다. 관리자는 이를 통해 위협을 사전에 인지하고 원인 파악과 적절한 대응을 진행할 수 있다.
1. 스피어 피싱 공격
공격자는 주로 악성코드를 첨부한 스피어 피싱 메일을 보내는 방식으로 공격을 시작한다. 공격 대상으로는 외교, 국방, 학술기관, 기업뿐만 아니라 개인들도 포함된다. 스피어피싱 메일에 첨부된 압축 파일 안에는 주로 문서 파일을 위장한 VBS나 JavaScript 악성코드가 포함되어 있다. 사용자가 압축을 해제하고 악성코드를 실행하면 AppleSeed 악성코드가 설치되어 감염 시스템에 존재하는 사용자 정보를 탈취하고 C&C 서버로부터 전달받은 명령을 수행한다.
VBS 및 JavaScript 악성코드는 AppleSeed를 설치할 뿐만 아니라 위장하고 있던 정상 문서 파일을 함께 생성하고 실행하기 때문에 사용자들은 정상적으로 문서 파일을 실행한 것으로 착각할 수 있다. 공격자가 위장하는 문서는 공격 대상에 따라 다른데 외교 및 국방의 경우 정부 문서 파일이 사용되는 편이며 기업의 경우 품의서, 발주서, 보안점검표, 납품실적, 거래내역서 등 다양한 주제가 사용된다. 또한 개인의 경우 주민등록초본이나 인터넷 쇼핑 주문 내역서가 확인되는 등 Kimsuky 그룹은 공격 대상에 따라 다양한 주제를 활용해 스피어 피싱 공격을 수행한다.
이번에 확인된 스피어 피싱 공격에서는 “***님.jse”라는 이름으로 피해자의 이름으로 추정되는 JavaScript 악성코드가 사용되었다. 이를 실행할 경우 다음과 같이 인터넷 쇼핑 주문 내역서를 생성해서 보여준다.
악성코드는 이와 동시에 암호화된 악성코드를 생성하고 certutil 유틸리티를 이용해 복호화한다. 그리고 파워쉘을 이용해 최종 악성코드를 실행하는데 DLL 포맷이기 때문에 regsvr32 유틸리티를 이용해 이를 실행한다. 다음 그림은 JavaScript 악성코드를 실행할 경우 확인되는 프로세스 트리로서 차례대로 인터넷 쇼핑 주문 내역서를 생성하고 웹 브라우저를 이용해 실행하는 행위와 악성코드들을 설치하는 행위를 보여준다. 일반적인 사례들과 달리 이번 사례에서는 JavaScript 악성코드가 AppleSeed와 AlphaSeed를 함께 설치하였다. 이에 따라 certutil을 이용한 복호화 행위와 악성코드 실행 행위가 유사하게 두 번 발생한다.
2. AhnLab EDR을 활용한 탐지
JavaScript 악성코드는 AppleSeed와 AlphaSeed를 설치할 때 암호화된 파일을 ProgramData 경로에 생성한 후 certutil 도구를 이용해 복호화하였다. AhnLab EDR은 이러한 의심스러운 행위를 위협으로 탐지하여 관리자가 악성코드가 시스템에 설치된 것을 사전에 탐지할 수 있도록 도와준다.
AppleSeed는 C&C 서버로부터 전달받은 공격자의 명령을 수행할 수 있는 백도어 악성코드이다. 공격자는 AppleSeed를 이용해 감염 시스템을 제어할 수 있으며 이외에도 추가 악성코드를 설치하는 다운로더 기능과 키로깅 및 스크린 캡쳐 그리고 사용자 시스템의 파일들을 수집하여 전송하는 정보 탈취 기능들을 지원한다.
DLL 형태의 AppleSeed는 Regsvr32 프로세스를 이용해 설치되는데 최종적으로 RegSvr32 프로세스에서 동작하는 AppleSeed는 시스템에 대한 기본적인 정보들을 수집하기 위해 net, systeminfo, ipconfig와 같은 명령들을 사용한다. 이후 C&C 서버에 연결하여 수집한 정보를 탈취하고 명령을 전달받을 수 있다. C&C 서버와의 통신에는 주로 HTTP 프로토콜을 이용하지만 과거에는 SMTP 프로토콜 즉 이메일을 사용하기도 했다.
AppleSeed는 수년간 큰 변화 없이 위에서 다룬 방식으로 설치된다. 최근에는 드로퍼 악성코드가 함께 사용되거나 안티 샌드박스 목적으로 “/i” 옵션을 이용한 인자 검사 기능이 추가되기도 했지만 ProgramData 경로에 암호화된 악성코드를 생성하고 복호화하는 등의 행위는 과거부터 동일하다. 다음은 AppleSeed를 설치하는 과정에서 RegSvr32 프로세스를 이용하여 비정상적인 확장자를 실행하는 행위가 AhnLab EDR에 의해 탐지된 사례이다.
AlphaSeed는 Go 언어로 개발된 악성코드로서 명령 수행이나 정보 탈취 등 지원하는 기능들이 AppleSeed와 유사하다. 물론 Go 언어로 개발되었다는 점이나 ChromeDP를 이용해 C&C 통신을 한다는 차이점은 있다. AlphaSeed는 C&C 통신에 이메일을 사용하며 AppleSeed와 달리 직접 메일을 발송하는 대신 ChromeDP라고 하는 도구를 이용한다. 로그인 과정도 다른데 직접 ID / PW를 이용하지 않고 특정 계정으로 로그인하기 위해 필요한 Cookie 값을 이용해 로그인하는 것이 특징이다.
C&C 서버와의 통신에 ChromeDP를 이용하기 때문에 다음 프로세스 트리처럼 자식 프로세스로 크롬 웹 브라우저가 생성된다.
AlphaSeed는 AppleSeed와 유사하게 스크린 캡쳐, 키로깅 및 명령 실행과 같은 다양한 악성 행위를 수행할 수 있다. 또한 재부팅 이후에도 동작할 수 있도록 자신을 실행하는 명령을 Run 키에 등록한다.
3. 결론
Kimsuky 그룹은 스피어 피싱 공격을 통해 AppleSeed 및 AlphaSeed 악성코드를 설치하고 있으며 이를 통해 스크린 캡쳐, 키로깅과 같은 사용자 정보를 탈취하고 감염 시스템을 제어하고 있다. 이외에도 AppleSeed를 이용해 웹 브라우저 계정 정보 탈취를 담당하는 인포스틸러 악성코드나 VNC(HVNC, TightVNC), RDP Wrapper, 크롬 원격 데스크톱 등 화면 제어를 위한 추가적인 악성코드를 설치하기도 한다.
AhnLab EDR은 Kimsuky 그룹이 사용하는 악성코드를 위협 및 주요 행위로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다. 관리자는 이를 통해 원인 파악과 적절한 대응을 진행할 수 있으며 스피어 피싱 공격에 노출된 이후에도 공격 대상이 된 시스템에서 공격자의 증적 자료로서 침해 사고 조사에 필요한 데이터를 확인할 수 있다.
사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 보안 제품을 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Dropper/JS.Generic (2024.01.30.02)
– Backdoor/Win.AppleSeed.C5584362 (2024.02.05.02)
– Backdoor/Win.AlphaSeed.R633230 (2024.01.30.03)
행위 진단
– Execution/EDR.Certutil.M11121
– SystemManipulation/DETECT.T1140.M3178
– Execution/EDR.Regsvr32.M11168
– Suspicious/DETECT.T1060.M2939
AhnLab EDR의 행위 기반 탐지 및 대응 기능에 대해 더 알고 싶으시면, 아래 배너를 클릭하여 확인해 보세요.
