국내 자산 관리 솔루션을 악용하여 공격 중인 Andariel 그룹 (MeshAgent)

AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Andariel 그룹이 국내 기업들을 대상으로 지속적인 공격을 수행 중인 것을 확인하였다. 이번에 확인된 공격의 특징이라고 한다면 공격 과정에서 MeshAgent를 설치한 사례가 확인되었다는 점이다. MeshAgent는 원격 관리 도구로서 원격 제어를 위한 다양한 기능들을 제공하기 때문에 다른 원격 관리 도구들처럼 공격자들이 악용하는 사례들이 자주 확인된다.

공격자는 이전 사례들처럼 국내 자산 관리 솔루션들을 악용해 악성코드를 설치하였으며 대표적으로 AndarLoader, ModeLoader가 있다. 참고로 Andariel 그룹은 과거 Innorix Agent부터 시작해 측면 이동 과정에서 악성코드를 유포하기 위해 국내 업체의 자산 관리 솔루션들을 지속적으로 악용하고 있다. [1] [2]

 

1. AndarLoader

ASEC에서는 과거 ASEC 블로그 “Andariel 그룹의 새로운 공격 활동 분석”에서 AndarLoader 악성코드를 소개한 바 있다. [3] AndarLoader는 Innorix Agent를 악용한 공격 사례에서 확인된 Andardoor와 유사하지만 C&C 서버로부터 공격자의 명령을 수행하는 대부분의 백도어 기능들이 바이너리에 구현된 Andardoor와 달리 C&C 서버로부터 닷넷 어셈블리와 같이 실행 가능한 데이터를 다운로드해 메모리 상에서 실행하는 다운로더 악성코드이다.

명령	기능
alibaba	다운로드한 닷넷 어셈블리 실행
facebook	다운로드한 닷넷 메쏘드 실행
exit	종료
vanish	자가 삭제 및 종료

Table 1. AndarLoader의 명령 목록

이번에 확인된 AndarLoader는 Dotfuscator 도구로 난독화되었던 과거 유형과 달리 KoiVM을 이용해 난독화된 것이 특징이다. 하지만 실행 과정에서는 사용하는 문자열들이 복호화되기 때문에 다음과 같이 과거 AndarLoader와 동일한 문자열들을 확인할 수 있다. 참고로 C&C 서버와의 연결 시 “sslClient” 문자열이 사용되는 것도 이전 공격에서 확인된 AndarLoader와 동일하다.

Figure 2. KoiVM으로 난독화된 AndarLoader

 

2. MeshAgent

MeshAgent는 원격 관리에 필요한 시스템의 기본 정보들을 수집하고 전원 및 계정 제어, 채팅이나 메시지 팝업, 파일 업로드/다운로드 그리고 명령 실행과 같은 기능들을 제공한다. 이외에도 원격 데스크톱을 지원하는데, 특히 RDP 및 VNC와 같은 원격 데스크톱 기능들 또한 웹 기반으로 지원이 된다. 일반적인 사용자들은 원격에서 시스템을 관리하기 위해 이를 이용할 것이지만 이러한 기능들 때문에 악의적인 목적으로 사용될 수 있다.

실제 다른 공격자들도 감염 시스템에 대한 원격 화면 제어를 위해 MeshAgent를 사용하는 사례들이 확인되고 있다. [4] Andariel 그룹이 MeshAgent를 사용한 것은 처음 확인된 사실이며 외부에서 “fav.ico”라는 이름으로 다운로드되었다.

Figure 2. MeshAgent 설치 로그

Figure 3. 자사 ASD 인프라에서 확인된 MeshAgent의 행위 로그

비록 악성코드는 수집되지 않았지만 해당 시점에서 MeshAgent 서버는 계속 동작 중이었기 때문에 다음과 같이 C&C 서버를 확인할 수 있었다.

Figure 4. MeshAgent C&C 서버

 

3. ModeLoader

ModeLoader는 Andariel 그룹이 과거부터 지속적으로 사용하고 있는 JavaScript 악성코드이다. 파일로서 생성되는 형태가 아니라 Mshta를 통해 외부에서 다운로드되어 실행된다. 이전 블로그 포스팅에서도 다음과 같이 ASD 로그에서 그 행위를 확인할 수 있었다.

Figure 5. 과거 사례에서 확인된 ModeLoader

공격자는 주로 자산 관리 솔루션들을 악용하여 ModeLoader를 다운로드하는 Mshta 명령을 실행한다. 다음과 같은 명령이 실행되면 최종적으로 Mshta 프로세스에서 ModeLoader가 다운로드되어 동작하면서 C&C 서버에 주기적으로 통신을 시도한다.

Figure 6. 자사 ASD 인프라에서 확인된 ModeLoader 설치 명령

ModeLoader는 JavaScript로 개발되었으며 난독화되어 있지만 제공하는 기능은 간단하다. C&C 서버(modeRead.php)에 주기적으로 접속하여 Base64로 암호화된 명령을 전달받은 후 명령을 실행하고 그 결과를 다시 C&C 서버(modeWrite.php)에 전달한다.

Figure 7. C&C 서버로부터 전달받은 명령을 실행하는 ModeLoader

공격자는 ModeLoader를 이용해 외부에서 추가 악성코드를 설치했을 것으로 추정된다. 실제 다음과 같은 명령을 통해 %SystemDirectory%에 “SVPNClientW.exe”라는 이름으로 설치되어 있는 AndarLoader를 실행한 이력을 확인할 수 있다.

> cmd.exe /c tasklist
> cmd.exe /c c:\windows\system32\SVPN*

 

4. 기타 악성코드 공격 사례

AndarLoader와 ModeLoader 등 백도어 악성코드를 이용해 감염 시스템에 대한 제어를 탈취한 공격자는 미미카츠를 설치하여 시스템에 존재하는 자격 증명 정보를 탈취하려고 하였다. 최신 윈도우 환경에서는 기본적으로 WDigest 보안 패키지를 이용한 평문 형태의 비밀번호를 구할 수 없기 때문에 UseLogonCredential 레지스트리 키를 설정하는 명령도 함께 확인된다. 공격자는 이외에도 AndarLoader를 이용해 “wevtutil cl security” 명령을 실행하여 감염 시스템의 보안 이벤트 로그를 삭제하기도 하였다.

이번에 확인된 공격 캠페인의 특징은 대부분의 공격 사례에서 키로거 악성코드가 함께 확인된 점이다. 해당 악성코드는 키로깅뿐만 아니라 클립보드 로깅 기능도 제공하는데 “C:\Users\Public\game.db” 경로에 키로깅한 데이터와 클립보드에 복사한 데이터를 기록한다.

Figure 8. 공격에 사용된 키로거 악성코드

Andariel 그룹은 Kimsuky 그룹과 유사하게 백도어를 설치하여 제어를 탈취한 이후에도 원격 화면 제어를 위한 추가적인 작업을 진행하였다. 위에서 다루었다시피 원격 화면 제어를 위해 MeshAgent를 설치하기도 하지만 RDP를 사용하기도 하는데 이를 위해 RDP 서비스를 활성화하는 명령도 함께 확인된다. 이외에도 비록 파일은 수집되지 않았지만 공격 과정에서 Frpc를 사용하는 것으로 보이는데 이 또한 사설망에 위치한 감염 시스템에 RDP로 접속하기 위한 것으로 보인다.

Figure 9. RDP 서비스를 활성화하는 명령

Figure 10. Frpc 실행 로그

 

5. 결론

Andariel 그룹은 Kimsuky, Lazarus 그룹과 함께 국내를 대상으로 활발하게 활동하고 있는 위협 그룹들 중 하나이다. 초기에는 주로 안보와 관련된 정보를 획득하기 위해 공격을 전개하였지만 이후에는 금전적 이득을 목적으로 한 공격도 수행하고 있다. 초기 침투 시 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 소프트웨어의 취약점을 이용하는 것으로 알려져 있으며 공격 과정에서 설치된 소프트웨어를 악용하거나 취약점 공격을 이용해 악성코드를 배포하는 정황도 확인되고 있다.

사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 기업 보안 담당자는 자산 관리 솔루션의 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치를 수행하여야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

 

파일 진단
– Backdoor/JS.ModeLoader.SC197310 (2024.03.01.00)
– Trojan/Win.Generic.C5384741 (2023.02.19.01)
– Trojan/Win.KeyLogger.C5542383 (2023.11.16.01)
– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)

행위 진단
– CredentialAceess/MDP.Mimikatz.M4367

MD5

29efd64dd3c7fe1e2b022b7ad73a1ba5

2c69c4786ce663e58a3cc093c6d5b530

4f1b1124e34894398aa423200a8ab894

a714b928bbc7cd480fed85e379966f95

URL

http[:]//panda[.]ourhome[.]o-r[.]kr/modeRead[.]php

http[:]//panda[.]ourhome[.]o-r[.]kr/modeView[.]php

http[:]//panda[.]ourhome[.]o-r[.]kr/view[.]php

http[:]//www[.]ipservice[.]kro[.]kr/index[.]php

http[:]//www[.]ipservice[.]kro[.]kr/modeRead[.]php

IP

84[.]38[.]129[.]21