2024년 3월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.

 

1)   Andariel

 

안랩 ASEC은 Andariel 그룹이 한국 자산 관리 솔루션 IMON Client, NetClient를 이용한 공격을 진행하고 있다고 공개했다.[1] 이들은 AndarLoader, Andardoor, ModeLoader 등의 자체 악성코드와 원격 관리 프로그램인 MeshAgent를 이용했다.

 

2)   APT29

 

Mandiant는 러시아의 외국 정보 기관(SVR)과 연계된 APT29 그룹이 독일 정치 조직을 대상으로 WineLoader 악성코드를 공개했다.[2] Zscaler의 ThreatLabz가 발견한 SpikeWine 그룹의 사이버 스파이 작전과 연결된다.[3]

 

공격자는 와인 시음 행사를 가장한 인도 대사의 초대장으로 가장한 PDF 파일을 보냈다. PDF에는 설문지로 연결되는 링크가 포함되어 있었으며, 이를 통해 사용자를 악성코드를 감염 시키는 사이트로 연결시켰다. 링크를 클릭하면 HTA 파일을 포함한 ZIP 파일이 다운로드 되고, HTA 파일은 WineLoader 악성코드를 실행한다.

 

WineLoader는 2024년 1월에 처음 관찰되었으며, APT29의 다른 악성코드와 공통된 특징을 가지고 있다. 악성코드는 DLL 사이드로딩 기술과 RC4 암호화를 사용하여 C2 서버와의 암호화 및 통신한다.

 

3)   APT33 (Curious Serpens)

 

Palo Alto Network Unit 42는 이란과 연계되었다고 추정되는 APT33 (Curious Serpens, Peach Sandstorm) 그룹의 FalseFont 백도어 분석을 공개했다.[4] 이 그룹은 인적 자원 관리 소프트웨어를 모방하여, 항공우주 및 방위산업 분야의 구직자들을 대상으로 공격했다.

 

FalseFont 백도어는 프로세스 실행, 파일 다운로드/업로드, 파일 시스템 조작, 업데이트, 자격 증명 도용, 스크린 캡처 등의 명령을 지원한다. 또한, HTTP 요청 및 SignalR 클라이언트를 사용해 암호화된 채널을 통해 C&C 서버와 통신한다.

 

4)   Earth Krahang

 

Trend Micro[5]와 CheckPoint[6]는 2022년 초부터 전 세계 정부 기관을 대상으로 하는 Earth Krahang 정보를 공개했다. 전 세계 45개국을 대상으로 활동 중이며 교육, 통신에 대한 공격도 확대하고 있다.

 

이들은 취약점 악용, 스피어 피싱, 브루트 포스(Brute Force) 공격 등 다양한 전술을 사용하여 초기 액세스를 얻는다. 액세스를 얻은 후 VPN 서버를 설치하고, 작업 예약을 통해 지속성을 유지 후 Mimikatz와 같은 도구를 사용하여 자격 증명을 덤프하고, WMIC 실행과 다양한 악용을 통한 권한 상승을 통해 측면 이동을 수행한다. 감염된 정부 인프라를 악용해 악성코드를 호스팅하고 스피어 피싱 이메일을 발송한다.

 

Cobalt Strike, RESHELL 및 XDealer (DinodasRAT), Linodas 등의 악성코드를 이용했다. Linodas는 XDealer (DinodasRAT)의 리눅스 버전이다.

 

Earth Krahang은 Earth Lusca와 중국 회사 I-Soon와 일정 부분 연관된다.

 

5)   Evasive Panda

 

Eset은 Evasive Panda 그룹이 2023년 9월부터 티베트인을 대상으로 워터링 홀 공격과 변조된 티베트어 언어 번역 소프트웨어를 통한 공급망 공격을 발견했다.[7]

 

이 공격은 2024년 1월과 2월에 인도에서 개최되는 티베트 몬림 (Monlam) 축제 관련 웹사이트를 방문한 사용자들을 대상으로 했다. 또, 소프트웨어 개발자의 공급망을 통해 악성코드를 포함한 Windows 및 macOS 용 설치 프로그램을 배포했다.

 

공격자는 Windows 및 macOS용 악성 다운로더를 배포하여 MgBot 및 Nightdoor 악성코드를 감염시켰다.

 

6)   Kimsuky

 

QianXin 위협 정보 센터는 Kimsuky 그룹이 한국 소프트웨어 회사인 SGA의 소프트웨어 제품 설치 프로그램으로 위장된 악성코드를 발견했다.[8] 이 샘플은 피해자를 속이기 위해 실제 설치 패키지를 배포하면서, VMProtect로 패킹 된 TrollAgent 악성코드를 실행했다. TrollAgent는 실행, 파일 조작, 시스템 정보 검색 등의 명령을 수행하며, 피해자를 식별하기 위해 UID를 생성하고, 스스로를 삭제하는 기능을 가지고 있다.

 

AhnLab Security Intelligence Center(ASEC)는 Kimsuky 그룹이 한국 공공기관을 위장하여 악성코드를 유포한 사실을 확인했다.[9] 특정 공공기관의 설치 파일로 보이도록 만들어진 드로퍼 악성코드를 통해 공격을 진행하였으며, 이 드로퍼는 과거에도 보안 프로그램 설치 과정에서 감염을 유도하는 TrollAgent 공격에서 사용된 백도어 악성코드인 Endoor를 생성한다. 이 드로퍼는 한국 업체의 유효한 인증서로 서명되었으며, 내부에는 압축 파일과 WinRAR 도구를 생성하여 비밀번호를 이용해 압축을 해제하고 백도어를 생성, 실행한다. Endoor 백도어는 Go 언어로 개발되었으며, 감염 시스템의 정보를 탈취하고 다양한 명령 실행이 가능하다. 이 백도어는 과거에도 스피어피싱 공격으로 유포되는 Nikidoor와 함께 사용되었다. 공격자는 이 백도어를 통해 추가적인 악성코드를 다운로드하거나 스크린샷을 탈취하는 등의 악성 행위를 수행하였다.

 

Kimsuky 그룹의 네이버 웨일(Whale) 브라우저와 관련된 정보를 탈취하려는 시도가 관찰되었다.[10] 공격 과정은 피싱 이메일을 통해 악성 HTML 파일을 포함한 RAR 압축 파일을 배포하는 것으로 시작되었다. HTML 파일이 열리면 원격 서버에서 추가 악성 코드를 끌어오는 VB 스크립트를 실행한다. 공격자는 PowerShell 스크립트를 사용하여 정보 탈취를 위한 추가 스크립트를 로드하고 실행한다. 공격 구성 요소 분석에서는 시스템 정보 수집, 데이터 암호화 및 원격 서버로의 전송, 원격 명령 실행을 위한 스크립트가 포함되어 있다.

 

Rapid7 Labs는 Kimsuky 그룹의 사이버 스파이 활동을 탐지했다.[11] 최근 관찰된 캠페인에서는 악성 페이로드를 전달하기 위해 CHM(컴파일된 HTML 도움말) 파일을 사용하는 방식이 포함되었다. 이러한 CHM 파일에는 내장된 HTML 페이지가 포함되어 있으며, 그 중 일부는 ActiveX를 사용하여 Windows 기계에서 임의의 명령을 실행한다.

 

Securonix는 북한의 Kimsuky 그룹에 의해 조직으로 추정되는 DEEP#GOSU 캠페인을 공개했다.[12] 공격은 PDF 파일로 위장된 악성 LNK 파일의 배포로 시작되며,  첨부 파일에는 내장된 PDF 내용을 추출하고 실행하는 동시에 Dropbox에서 추가 악성 페이로드를 다운로드하는 PowerShell 스크립트가 포함되어 있다. 초기 페이로드가 Dropbox에서 원격 PowerShell 스크립트를 검색하고, 이 스크립트는 다른 Dropbox URL에서 .NET 어셈블리를 동적으로 로드하고 실행된다. Dropbox에서 다운로드 된 파일은 C# 원격 제어 악성코드인 TutClient이다. PowerShell 스크립트를 사용하여 피해자 시스템의 실행 중인 프로세스, 방화벽 상태, 안티바이러스 제품, 사용자 프로필 디렉토리 등 시스템 정보를 캡처한다. 수집된 데이터는 암호화되어 HTTP POST 요청을 통해 Dropbox로 유출된다.

 

Kroll 사이버 위협 정보팀은 Kimsuky 그룹이 ScreenConnect 취약점 (CVE-2024-1708 및 CVE-2024-1709)을 이용하여 BabyShark 악성코드를 감염시켰다는 사실을 확인했다.[13]

 

MSHTA를 통해 실행된 악성코드는 강력한 난독화 기법을 통해 각 다운로드마다 해시가 바뀐다. 다음 단계의 다운로드는 레지스트리 키 설정, 정보 도용 기능, 예약된 작업 시작을 포함했다. 이 악성코드는 MS 오피스에서 신뢰되지 않은 매크로에 대한 알림 없이 실행되도록 레지스트리 키를 수정했다. 정보 도용 기능은 시스템 정보, 네트워크 상세 정보, 보안 소프트웨어 정보를 캡처하는 것을 포함되었다.

 

---

[1] https://asec.ahnlab.com/ko/62771/

[2] https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties

[3] https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader

[4] https://unit42.paloaltonetworks.com/curious-serpens-falsefont-backdoor/

[5] https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html

[6] https://research.checkpoint.com/2024/29676/

[7] https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/

[8] https://ti.qianxin.com/blog/articles/Espionage-Operation-Disguised-as-Software-Installers-by-Kimsuky-APT-Q-2-EN/

[9] https://asec.ahnlab.com/ko/62117/

[10] https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247495843&idx=1&sn=7965885f6dc8503c7fc49b7002816d13

[11] https://www.rapid7.com/blog/post/2024/03/20/the-updated-apt-playbook-tales-from-the-kimsuky-threat-actor-group/

[12] https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-deepgosu-attack-campaign/

[13] https://www.kroll.com/en/insights/publications/cyber/screenconnect-vulnerability-exploited-to-deploy-babyshark