국내 기업 대상 공격에 사용 중인 SmallTiger 악성코드 (Kimsuky, Andariel 그룹)
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 기업들을 대상으로 SmallTiger 악성코드를 이용한 공격 사례들을 확인하여 대응하고 있다. 최초 침투 과정은 확인되지 않지만 공격자는 측면 이동 과정에서 기업 내부에 SmallTiger를 유포하였다. 공격 대상이 된 곳은 국내 방산업체, 자동차 부품 및 반도체 제조업 등이 확인되었다.
해당 공격은 2023년 11월에 최초로 확인되었는데 공격 대상이 된 시스템에서 확인된 악성코드들을 보면 전형적인 Kimsuky 그룹의 소행으로 여겨지지만 내부 전파 과정에서 기업 내의 소프트웨어 업데이트 프로그램을 악용하였다는 점에서 일반적인 Kimsuky 그룹의 공격 방식과의 차이점이 존재한다. 또한 최종적으로 설치된 백도어 악성코드가 과거 Andariel의 공격 사례에서 확인된 DurianBeacon이었다는 점도 특징이다.
동일한 공격자는 2024년 2월부터 공격을 재개하였으며 최종적으로 유포되는 악성코드도 공격자가 SmallTiger라고 이름 지은 다운로더로 변경되었다. SmallTiger를 활용한 공격 사례는 2024년 5월 최근까지도 지속되고 있다.
1. DurianBeacon 공격 사례
2023년 11월 MultiRDP 악성코드와 Meterpreter를 이용한 공격 사례가 확인되었다. MultiRDP로 분류한 악성코드는 현재 실행 중인 원격 데스크톱 서비스의 메모리를 패치하여 다수의 사용자가 RDP로 접속할 수 있도록 설정하는 악성코드이다. 공격자는 이를 통해 사용자 인지 없이 감염 시스템에 다른 계정으로 로그인할 수 있으며 주로 Kimsuky 그룹이 이를 활용하고 있다. Meterpreter는 침투 테스트 목적의 프레임워크인 메타스플로잇에서 제공하는 백도어 악성코드로서 코발트 스트라이크와 유사하게 명령 실행, 정보 탈취, 측면 이동 등 기업의 네트워크를 장악하기 위한 기능들을 제공한다.
공격에 사용된 악성코드들 중 MultiRDP 악성코드는 2022년 4월 AppleSeed를 이용한 공격 사례에서 최초로 확인된 유형이다. 이외에도 과거부터 Kimsuky 그룹이 자주 사용하던 Ngrok, Meterpreter 악성코드가 함께 확인되었다는 점이나 C&C 서버의 유사성을 통해 Kimsuky 그룹과의 연관성을 추정할 수 있다.
Figure 1. 파워쉘 명령으로 설치되는 MultiRDP 악성코드
해당 시스템에서는 기업 내의 소프트웨어 업데이트 프로그램을 통해 또 다른 악성코드가 설치된 사례가 함께 확인되었다. 최종적으로 설치된 악성코드는 과거 Andariel 그룹의 공격 사례에서 확인된 DurianBeacon RAT 악성코드였다. 이렇게 과거 Andariel 그룹의 공격 사례에서 확인된 악성코드가 설치된 점이나 악성코드 유포에 사용되는 공격 기법은 과거부터 Andariel 그룹이 사용하고 있는 방식과 유사하다.
내부 전파 과정에서 최초로 설치된 악성코드는 드로퍼로서 리소스에 존재하는 3개의 파일들을 복호화하여 “mozillasvcone”라는 이름의 서비스로 설치한다. “mozillasvcone” 서비스에 의해 실행된 “%SystemDirectory%\mozillasvcone.dll”는 “%SystemDirectory%\0OGPWm4uRZ0CAkHZ9o\c0FcEpj86LSNmZ5.dll” 경로에 생성된 DLL을 로드하고 RyXmqIUMXViyw6Uvkf() 함수를 호출하는 기능을 담당한다. “c0FcEpj86LSNmZ5.dll”은 “%SystemDirectory%\OQAuagarc0wDTo\mNyKQBP3vV4uX” 경로에 생성된 암호화된 데이터 파일을 읽고 복호화하여 메모리 상에서 실행한다.
최종적으로 메모리 상에서 실행된 DurianBeacon은 백도어 악성코드로서 과거 ASEC 블로그 “Andariel 그룹의 새로운 공격 활동 분석”[1]에서 언급한 DurianBeacon의 업데이트된 버전이다. Go 언어로 개발되었다는 점이나 C&C 서버와의 통신 과정에서 SSL 프로토콜을 사용한다는 특징은 동일하다.
Figure 2. 과거 버전과 최신 버전 비교
또한 과거 버전과 동일하게 최초 접속 이후 감염 시스템의 IP 정보, 사용자 이름, 데스크톱 이름, 아키텍처, 파일명을 전송한 후 명령을 대기하며 명령 전달 시 결과를 반환한다. 차이점이라고 한다면 자가 삭제 및 Socks Proxy 기능을 담당하는 0x10, 0x12 항목의 명령이 추가되었다는 점이다.
| 명령 | 기능 |
|---|---|
| 0x00 | Hibernate |
| 0x01 | Interval |
| 0x02 | 파워쉘 명령 실행 |
| 0x03 | 디렉터리 조회 |
| 0x04 | 드라이브 정보 |
| 0x05, 0x06, 0x07, 0x08 | 파일 업로드 |
| 0x09, 0x0A, 0x0B | 파일 다운로드 |
| 0x0C | 디렉터리 생성 |
| 0x0D | 파일 삭제 |
| 0x0E | 명령 실행 |
| 0x0F | 종료 |
| 0x10 | 자가 삭제 |
| 0x12 | Socks Proxy |
Table 1. DurianBeacon의 명령 목록
공격자는 최초 침투 이후 기업 내부 인프라를 장악하기 위해 DurianBeacon을 조직 내부에 유포하였으며 이를 이용해 정보를 탈취하였을 것으로 추정된다.
2. SmallTiger 공격 사례 #1
2024년 2월부터는 또 다른 소프트웨어를 악용하는 동일한 공격자의 공격 사례가 확인되었다. 내부 전파 과정에서 최종적으로 DLL 포맷의 악성코드가 설치되는데 해당 악성코드는 다운로더로서 C&C 서버에 접속하여 페이로드를 다운로드해 메모리 상에서 실행하는 기능을 담당한다. 여기에서는 공격자가 제작 시 설정한 DLL 이름을 통해 해당 다운로더 악성코드를 SmallTiger로 분류한다.
Figure 3. 공격자가 지정한 DLL 이름인 SmallTiger
공격자는 침투 과정에서 감염 시스템에 Mimikatz와 ProcDump를 설치하기도 하였으며 이후 감염 시스템의 자격 증명 정보를 탈취하기 위해 ProcDump 도구로 LSASS 프로세스의 메모리를 덤프하였다.
Figure 4. 공격 과정에서 확인된 ProcDump 명령
해당 사례에서는 NirSoft의 WebBrowserPassView와 웹 브라우저 정보를 탈취하는 악성코드가 함께 확인되기도 하였다. WebBrowserPassView와 유사하게 구글 크롬, 파이어폭스, 인터넷 익스플로러에 저장된 계정 정보와 히스토리 정보를 추출해서 보여주는 커맨드 라인 도구이다.
Figure 5. 공격 과정에서 확인된 웹 브라우저 계정 정보 탈취 악성코드
3. SmallTiger 공격 사례 #2
DurianBeacon을 생성하는 드로퍼 유형을 사용하였던 2023년 11월과 달리 2024년 4월에는 동일한 “j******n.exe” 이름의 다운로더가 사용되었다. 해당 악성코드는 Mshta 명령으로 C&C 서버에서 악성 자바스크립트를 다운로드해 실행한다. 다운로드된 자바스크립트는 내부에 포함된 페이로드를 “C:/Users/Public/printsys.dll:mdata” 경로 즉 ADS(Alternate Data Stream) 영역에 생성하고 rundll32로 실행하는데 이러한 과정을 통해 최종적으로 SmallTiger가 실행된다.
Figure 6. ADS 영역에 SmallTiger를 설치하는 mshta 명령
이후 2024년 5월에는 기존에 사용하던 C&C 서버가 아닌 깃허브가 SmallTiger를 유포하는 데 사용되었다. 최종적으로 설치되는 “pk.dll”은 이전 사례와 동일하게 SmallTiger 악성코드이다.
Figure 7. 깃허브에서 추가 페이로드를 다운로드하는 악성코드
Figure 8. 악성코드가 업로드된 공격자의 깃허브 주소
4. 결론
ASEC에서는 2023년 11월부터 국내 기업들을 대상으로 한 SmallTiger 악성코드 유포 공격을 확인하였다. 최초 확인된 사례에서 공격자는 과거 Andariel 그룹이 사용한 DurianBeacon을 최종 페이로드로 사용하였지만 이외에도 과거 Kimsuky 그룹이 사용했던 악성코드들이 함께 확인되었다는 점이 특징이다. 2024년 2월부터는 SmallTiger라고 이름 붙인 또 다른 악성코드를 사용하고 있다.
사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 기업 보안 담당자는 보안 프로그램의 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치를 수행하여야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Data/BIN.Encoded (2024.05.07.02)
– Downloader/HTA.Agent.SC199444 (2024.05.02.00)
– Downloader/Win.SmallTiger.R648273 (2024.05.15.01)
– Downloader/Win.Agent.R648272 (2024.05.15.01)
– Downloader/Win.SmallTiger.R648174 (2024.05.14.01)
– Downloader/Win.SmallTiger.R647319 (2024.05.07.01)
– Downloader/Win.SmallTiger.R646830 (2024.05.01.03)
– Malware/Win.Agent.R628198 (2023.12.18.02)
– Dropper/Win.Agent.R626614 (2023.12.05.00)
– Trojan/Win.Agent.R626616 (2023.12.05.00)
– Trojan/Win.Agent.R626617 (2023.12.05.00)
– Backdoor/Win.Iedoor.R625563 (2023.11.27.03)
– Trojan/Win.Generic.R577010 (2023.05.15.02)
– Trojan/Win32.RL_Mimikatz.R290617 (2019.09.09.01)
– Trojan/Win32.RL_AgentTesla.C4181110 (2020.08.16.06)
– HackTool/Win.PassViewer.C5353355 (2023.01.08.03)
– Downloader/Win.Agent.C5617482 (2024.05.01.03)
– Downloader/Win.SmallTiger.C5617497 (2024.05.02.00)
– Downloader/Win.SmallTiger.C5617498 (2024.05.02.00)
– Trojan/Win.AndarDowner.C5619183 (2024.05.07.01)
– Downloader/Win.SmallTiger.C5621202 (2024.05.13.00)
– Downloader/Win.Agent.C5621403 (2024.05.13.02)
– Downloader/Win.Agent.C5621517 (2024.05.14.01)
– Downloader/Win.SmallTiger.C5623714 (2024.05.21.01)
– Downloader/Win.SmallTiger.C5623717 (2024.05.21.01)
– Downloader/Win.SmallTiger.C5623718 (2024.05.21.01)
– Infostealer/Win.Agent.C5623997 (2024.05.21.03)
행위 진단
– DefenseEvasion/MDP.Event.M1423
– Execution/MDP.Powershell.M1185
– InitialAccess/MDP.Powershell.M1197
– Execution/MDP.Ngrok.M4615
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
