2024년 5월 APT 그룹 동향 보고서
2024년 5월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.
1) Andariel
AhnLab SEcurity Intelligence Center(ASEC)은 Andariel 그룹의 한국에 대한 다양한 공격 사례를 공개했다.[1]
Andariel 그룹의 과거 공격에 사용된 Nestdoor 백도어가 다시 확인되었다. Nestdoor는 C++로 개발된 악성코드로, 파일 업로드/다운로드, 리버스 쉘, 명령 실행 등의 기능을 제공한다. 최근 확인된 Nestdoor는 C&C 통신 명령 번호가 변경되었고, 일부 기능이 제거되었다.
새롭게 발견된 Dora RAT은 Go 언어로 개발되었으며, 리버스 쉘, 파일 다운로드/업로드 기능을 지원한다. Dora RAT은 단독 실행 파일 형태와 탐색기에 인젝션하는 형태로 존재하며, 공격자는 유효한 인증서로 악성코드를 서명하기도 했다.
키로거와 클립보드 내 내용을 훔치는 악성코드가 추가로 설치되었으며, 시스템에 존재하는 파일을 탈취하는 스틸러 악성코드도 사용되었다. 공격에 사용된 프록시 도구들은 오픈소스 Socks5 프록시 도구와 유사한 유형들이었다.
한국 방산업체, 자동차 부품 및 반도체 제조업 등에 SmallTiger 악성코드를 이용한 공격 사례들도 확인되었다.[2] 최초 침투 과정은 확인되지 않지만, 공격자는 측면 이동 과정에서 기업 내부에 SmallTiger를 유포했다.
해당 공격은 2023년 11월에 최초로 확인되었는데, 공격 대상이 된 시스템에서 확인된 악성코드들을 보면 전형적인 Kimsuky 그룹의 소행으로 여겨지지만 내부 전파 과정에서 기업 내의 소프트웨어 업데이트 프로그램을 악용하였다는 점에서 일반적인 Kimsuky 그룹의 공격 방식과의 차이점이 존재한다. 또한, 최종적으로 설치된 백도어 악성코드가 과거 Andariel의 공격 사례에서 확인된 DurianBeacon이었다는 점도 특징이다. 동일한 공격자는 2024년 2월부터 공격을 재개하였으며 최종적으로 유포되는 악성코드도 공격자가 SmallTiger라고 이름 지은 다운로더로 변경되었다.
2024년 5월 ERP 솔루션 영림원 소프트랩사의 K-System을 이용한 공격 정황이 확인되었다.[3] K-System 업데이트 서버를 통한 감염으로 보이며, Go 언어로 개발된 Xctdoor 백도어가 감염된다.
Cisco Talos는 2021년부터 미국의 IT 기업, 유럽의 에너지 부문, 아시아의 제약 부문 등 다양한 산업에 걸쳐 활동하고 있는 LilacSquid 그룹 정보를 공개했다.[4] 이들은 공개된 애플리케이션 서버의 취약점과 유출된 RDP 자격 증명을 이용했다. 공격자는 MeshAgent와 QuasarRAT의 맞춤 버전인 PurpleInk 악성코드를 주로 사용하여 감염된 시스템을 제어한다. 이 공격의 여러 전술, 기술, 절차(TTP)는 Andariel 그룹과 유사점을 보인다.
2) APT28
CERT Polska (CSIRT NASK)와 CSIRT MON팀은 러시아 연방 군대 총참모본부 (GRU)와 연관되었다고 추정되는 APT28 그룹이 폴란드 정부 기관을 공격했다고 밝혔다.[5]
공격은 메일 수신자가 제공된 링크를 클릭하도록 유도하는 흥미로운 내용을 포함하는 피싱 이메일로 시작된다. 이메일 내의 링크는 개발자가 API를 생성하고 테스트하는데 사용되는 무료 서비스인 run.mocky.io 로 연결되고, 사진 파일을 담고 있는 ZIP 파일이 다운로드 된다.
ZIP 압축 파일에는 DLL 사이드 로딩을 위한 정상 윈도우 계산기, 악성 DLL, BAT 파일이 포함되어 있다. 피해자가 사진 파일로 착각해 EXE 파일을 클릭하면 악성 DLL 파일인 WindowsCodecs.dll가 로드되고 BAT 파일이 실행된다. BAT 파일은 Microsoft Edge 브라우저를 실행하고 webhook.site에서 base64로 인코딩된 페이지 내용을 로드한다. 최종 실행되는 스크립트는 피해자의 컴퓨터에 대한 정보를 수집해 명령 및 제어 (C&C) 서버로 전송한다.
Recorded Future Insikt Group은 APT28가 최근 유럽의 주요 네트워크를 대상으로 다단계 첩보 캠페인을 진행 중임을 확인했다.[6] 이들은 Yahoo와 UKR.net 사용자, 전용 이메일 서버 사용자를 대상으로 했으며, 우크라이나 국방부, 유럽 철도 인프라 기업, 아제르바이잔 싱크탱크를 주요 타겟으로 했다. GitHub, Mocky, InfinityFree 등의 서비스를 악용하여 Headlace 악성코드를 배포했다. 이들은 자격 증명 탈취 페이지를 통해 합법적인 서비스와 라우터를 통해 2단계 인증을 우회하며, GitHub와 InfinityFree를 이용한 리디렉션 스크립트를 호스팅했다.
3) APT31
IPAC (Inter-Parliamentary Alliance on China)는 호주 상원의원 6명과 하원의원 6명이 중국 정부가 후원한다고 추정되는 APT31 그룹의 표적이 되었다고 발표했다.[7]
APT31은 2021년부터 뉴스 매체로 가장한 도메인에서 호주 국회의원 및 상원의원의 의회 이메일에 공격 메일을 보냈다. 호주 정보 기관과 FBI는 관련 내용을 호주 정부에 알렸지만 호주 정부는 국회 의원에게 알리지 않기로 결정했다.
IPAC에 소속된 20명의 호주 의원들은 미국 법무부가 2024년 4월 7명의 중국 해커에 대한 기소를 발표했을 때야 공격 시도에 대해 알게 되었고, 의원들은 호주 정부가 알리지 않은 이유에 대한 설명을 요구했다.
4) APT42
Google Mandiant는 이란과 연결되었다고 추정되는 APT42 그룹이 서양과 중동 지역의 다양한 조직과 개인 대상으로 복잡한 사회 공학 기법과 악성코드를 활용하는 활동을 확대하고 있다고 밝혔다.[8]
그들은 기자, 행사 주최자, 합법적인 서비스 등으로 위장한 스피어 피싱 메일을 기자, 연구원, NGO 리더, 인권 활동가, 이란 정권에 위협으로 인식되는 개인 등의 대상에게 보내 신뢰를 얻고 Microsoft, Yahoo, Google 자격증명 정보를 수집했다. 이렇게 수집된 인증 정보는 특히 클라우드 환경과 같은 피해자 네트워크에 접근하는 데 사용되며, 전략적으로 중요한 데이터가 유출된다.
그들은 초기 접근을 얻고 민감한 데이터를 유출하기 위해 NICECURL과 TAMECAT과 같은 맞춤형 백도어를 배포했다. 또한, APT42는 클라우드 환경의 내장 기능 사용, 브라우저 기록 삭제, 피해자 네트워크와 상호 작용하기 위한 익명화된 인프라 사용 등의 방어 회피 기법을 사용한다.
[1] [1] https://asec.ahnlab.com/ko/65495/
[2] https://asec.ahnlab.com/ko/65918/
[3] https://atip.ahnlab.com/intelligence/view?id=97d2a40c-7600-4c58-9d5a-e84da811cb39
[4] https://blog.talosintelligence.com/lilacsquid/
[5] https://cert.pl/en/posts/2024/05/apt28-campaign
[6] https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp
[7] https://twitter.com/ipacglobal/status/1787252282716770360
[8] https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations?hl=en
