2024년 4월 APT 그룹 동향 보고서

 

2024 4월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.

 

1)  APT28 (Forest Blizzard)

 

마이크로소프트 위협 인텔리전스 (Microsoft Threat Intelligence)는 러시아 기반의 위협 행위자인 APT28 활동에 대한 조사 결과를 공개했다.[1]

 

이 그룹은 2020년 6월(빠르면 2019년 4월)부터 윈도우 프린트 스풀러 권한 상승(Windows Print Spooler Elevation of Privilege, CVE-2022-38028)과 Microsoft 아웃룩 (CVE-2023-23397) 취약점을 이용해 공격했다.

 

공격 대상 시스템의 권한 상승을 얻고 자격 증명과 정보를 훔치는데 GooseEgg 악성코드를 사용했다.

 

2)  BlackTech (Earth Hundun)

 

트렌드 마이크로 (Trend Micro)는 아시아-태평양 지역에서 활동하는 BlackTech 그룹의 활동을 공개했다.[2] 이 그룹은 정부 기관과 기술 기업을 대상으로 Waterbear, Deuterbear와 같은 악성코드를 사용했다.

 

Waterbear 악성코드는 2009년 이후 10개 이상의 버전이 있으며, 다양한 회피 기법과 분석방지 기법을 사용한다. 최근 Waterbear 악성코드 버전은 DLL 사이드로딩과 사용자 정의 복호화 루틴을 포함한 난독화 및 로드 기법을 사용한다. 또한 다운로더는 안티-메모리 스캔 및 암호화와 같은 기법을 사용하여 보안 제품 우회를 시도한다.

 

2022년부터 확인된 Deuterbear 악성코드는 Waterbear 악성코드의 개선 버전으로, 안티 메모리 스캐닝 및 암호 해독 루틴을 포함하여 몇 가지 변경 사항이 있어 Waterbear와는 다른 악성코드로 분류된다.

 

3)  Earth Freybug

 

트렌드 마이크로 (Trend Micro)는 Earth Freybug 그룹이 Unapimon 악성코드를 이용한 활동을 확인했다.[3] Earth Freybug는 APT41의 하위 그룹으로 보인다.

 

이번 활동은 VMware 프로세스인 vmtoolsd.exe에 코드를 주입해 예약 작업을 통해 cc.bat 파일을 실행하도록 했다. cc.bat은 시스템 정보를 수집하고, 결과를 텍스트 파일로 저장한다. 두번째 cc.bat는 이전에 드롭된 파일을 %System%\TSMSISrv.DLL로 복사하고, SessionEnv 서비스를 조작하여 이를 로딩한다.

 

Unapimon 악성코드는 API 언후킹을 통해 탐지와 모니터링을 회피하는 기법을 사용한다.

 

4)  Kimsuky

 

프루프포인트 (Proofpoint)는 Kimsuky 그룹이 2023년 12월 이후 DMARC (Domain-based Message Authentication Reporting and Conformance) 정책을 이용해 다양한 인물을 가장하고 있다고 공개했다.[4][5]

 

피싱 캠페인은 핵 해제, 한국-미국 정책, 제재 등의 주제에 대한 의견을 요청하는 데 초점을 맞추고 있다. 그들은 각 피해자에게 맞춤형 유인 콘텐츠를 제공하며, 종종 이메일이나 공식 연구 논문을 통해 의견을 요청한다.

 

이 그룹은 주로 Stimson Center와 Atlantic Council와 같은 잘 알려진 조직을 포함한 싱크탱크와 NGO의 개인으로 가장했다. 이들은 초기 정찰을 위해 메일에 웹 비콘을 포함시켰다. 웹 비콘은 이메일 계정 활성화와 같은 기본 정보 수집에 사용되었다.

지니언스 시큐리티 센터(GSC)는 Kimsuky 그룹이 보안 제품 회피를 목적으로 다단계 공격 체인을 사용하는 것을 확인했다.[6] 이 그룹은 합법적인 클라우드 서비스인 드롭박스를 사용하여 탐지를 회피하는 전략을 취하고 있다.

 

5)  Lazarus

 

아바스트(Avast)는 2023년 여름 Lazarus 그룹이 주도한 사이버 공격을 발견했다.[7] 이 공격은 특정 아시아 지역의 개인들을 대상으로 가짜 채용 제안을 이용하여 진행되었으며, 공격자들은 기존의 보안 조치에 피하기 위해 노력했다.

 

공격은 Lazarus 그룹이 사회 공학적 전략을 사용하여 대상과의 접촉을 시작하는 것으로 시작되었다. 가짜 채용 제안은 합법적인 기회로 위장되어 통신을 시작하는 미끼 역할을 했다. 공격자들은 LinkedIn, WhatsApp, 이메일 등을 활용하여 피해자들을 유인하고, 악의적인 ISO 파일을 전송했다.

 

이들 ISO 파일은 Windows의 자동 마운팅 기능을 악용하여 악의적인 코드의 실행을 용이하게 제작되었다. 피해자가 악의적인 AmazonVNC.exe를 실행하면, 관련 로더와 악의적인 DLL이 실행된다. ISO 파일에 포함된 RollFling 로더는 암호를 풀어 KaolinRAT 악성코드를 실행한다.

 

KaolinRAT 악성코드는 C&C 서버와 안전한 통신 채널을 구축하고 다양한 명령을 실행할 수 있는 능력을 가지고 있어, 데이터 유출과 원격 제어에 사용되었다. 공격 체인 전반에 걸쳐 Lazarus 그룹은 암호화, 압축, 스테가노그래피 등 다양한 회피 기법을 사용하여 활동을 숨기고 보안 조치를 우회했다.

 

6)  MuddyWater

 

Harfanglab은 이란의 지원을 받고 있다고 추정되는 MuddyWater 그룹이 합법적인 원격 모니터링 및 관리(RMM) 도구를 이용해 이스라엘, 인도, 알제리, 터키, 이탈리아, 이집트의 항공사, IT 회사, 통신, 제약, 자동차 제조, 물류, 여행 및 관광, 고용/이민 기관 및 소규모 기업을 공격하고 있다고 공개했다.[8]

 

MuddyWater 그룹은 공격에 ScreenConnect, Syncro, SimpleHelp, RemoteUtilies, Atera Agent와 같은 원격 모니터링 및 관리 (RMM) 도구를 이용하고 있다.

 

MuddyWater 그룹은 스피어 피싱 메일을 통해 Atera Agent 설치 프로그램의 링크를 전달했다. 이들은 Atera의 무료 체험판을 이용했으며, 사용자 등록에는 해킹된 이메일 계정을 이용했다. Atera의 플랫폼에서 원격 제어 기능을 제공해 공격자가 별도의 명령 및 제어(C2) 인프라를 설정할 필요가 없다.

 

---

[1] https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/

[2] https://www.trendmicro.com/en_us/research/24/d/earth-hundun-waterbear-deuterbear.html

[3] https://www.trendmicro.com/en_us/research/24/d/earth-freybug.html

[4] https://www.proofpoint.com/us/blog/threat-insight/social-engineering-dmarc-abuse-ta427s-art-information-gathering

[5] https://www.ic3.gov/Media/News/2024/240502.pdf 

[6] https://www.genians.co.kr/blog/threat_intelligence/dropbox

[7] https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams/

[8] https://harfanglab.io/en/insidethelab/muddywater-rmm-campaign/