2023년 12월 APT 그룹 동향 보고

2023년 1월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.

 

1)   Andariel

 

한국 경찰은 Andariel 그룹이 한국의 방위산업, IT 보안기업, 연구소, 교육 등 14개 곳을 공격했으며 랜섬웨어로 4월 7천 만원을 벌었다고 공개했다.[1]

 

Cisco Talos 는 Andariel 그룹의 Operation Blacksmith 캠페인을 공개했다.[2] Andariel 그룹은 남미와 유럽 지역의 제조, 농업 및 물리적 보안 회사 표적으로 삼았으며 Log4 취약점 (CVE-2021-44228)으로 공격했다. 이 캠페인에는 HazyLoad, NineRAT, BottomLoader, DLRAT 악성코드가 사용되었으며, NineRAT은 텔레그램 채널을 명령 및 제어(C2) 통신으로 사용한다.

 

2)   APT28  

 

Proofpoint 는 2023년 3월부터 APT28 (TA422)의 피싱 활동을 관찰했다.[3] 유럽과 북미의 교육, 정부, 제조, 항공 우주 분야를 대상으로 Microsoft Outlook의 권한 상승 취약점(CVE-2023-23397)과 WinRAR의 원격 코드 실행 취약점(CVE-2023-38831)을 이용해 공격했다. 2023년 늦여름 메일에는 TNEF(Transport Neutral Encapsulation Format) 파일을 사용하는 약속 첨부 파일이 포함되어 있었다. TNEF 파일은 가짜 파일 확장자를 사용하여 CSV, Excel 파일 또는 Word 문서로 가장했다. 손상되었을 가능성이 있는 Ubiquiti 라우터에서 호스팅 되는 SMB 수신기로 트래픽을 전달하는 UNC 경로를 포함했다. NTLM 인증을 통해 대상의 비밀번호 해시를 획득했다.

 

IBM X-Force는 APT28 그룹이 이스라엘-하마스 갈등을 이용한 사이버 스파이지 캠페인을 주도하고 있다고 공개했다.[4] 공격의 대상은 주로 헝가리, 터키, 호주, 폴란드, 벨기에, 우크라이나, 독일, 아제르바이잔, 사우디아라비아, 카자흐스탄, 이탈리아, 라트비아, 루마니아 등의 국가였다.

 

CERT-UA는 2023년 12월 국가 기관을 대상으로 이메일을 통한 공격을 확인했다.[5] Python 언어로 작성된 MASEPIE 악성코드를 통해 OPENSSH, STEELHOOK, OCEANMAP 등의 추가 악성코드를 다운로드했다. 초기 단계에서부터 IMPACKET, SMBEXEC 등의 도구를 설치하여 네트워크를 탐색하고 추가적인 공격을 시도했다. WinRAR의 원격 코드 실행 취약점(CVE-2023-38831)을 이용하기로 했으며 일부는 Headlace 백도어를 감염시켰다.

 

3)   APT29

 

Fortinet IR 팀[6]과 폴란드 CERT[7]는 APT29로 추정되는 그룹이 TeamCity 취약점 (CVE-2023-42793)을 이용해 의학 제조 업계를 공격했다고 공개했다. Python으로 작성된 맞춤형 익스플로잇 스크립트를 사용하여 CVE-2023-42793 TeamCity 취약점을 공격했다. 공격 후 사용된 악성코드의 동작은 APT29가 사용하는 GraphicalProton 악성코드와 일치했다.

 

4)   Calisto (Star Blizzard)  

 

마이크로소프트와 영국, 미국, 캐나다, 호주 및 뉴질랜드 정부 기관은 Calisto (Star Blizzard)가 정부 또는 외교, 러시아와 관련된 국방 정책이나 국제 관계 연구, 우크라이나 지원 등에 대한 이메일 자격 증명 도용에 계속 집중하고 있다고 공개했다.[8]

 

Calisto 그룹은 탐지 회피 능력을 향상시키기 위해 서버 측 스크립트 사용, 이메일 마케팅 플랫폼 서비스 사용, DNS 공급자 사용, 비밀번호로 보호된 PDF 파일, 클라우드 기반 파일 공유 플랫폼에 호스팅 된 PDF 파일 링크 사용, 무작위적인 도메인 생성 알고리즘으로의 전환 (DGA) 등의 기법을 사용하고 있다.

 

미국과 영국 정부는 두 명의 러시아 국적자 Ruslan Peretyatko 와 Andrey Korinets 에 대해 CALISTO 작전에 적극적으로 관여한 혐의로 기소했다.[9] Sekoia는 Calisto 그룹 관계자와 관련된 신상 정보를 공개했다.[10]

 

5)   Kasablanka

 

360은 Kasablanka 그룹으로 추정되는 활동을 발견했다.[11] 이 그룹은 아제르바이잔과 아르메니아가 분쟁 지역인 나고르노카라바흐 지역(Nagorno-Karabakh)을 표적으로 삼아 공격을 진행했고 있다.

 

VenomRAT 악성 소프트웨어를 배포, 다단계 전달 메커니즘, 난독화 전략 그리고 전략적인 소셜 엔지니어링을 활용해 목표를 공격했다. 공격자는 AMSI.dll의 AmsiScanBuffer()를 수정하여 AMSI를 우회하고, ntdll.dll의 EtwEventWrite()를 수정하여 Windows 이벤트 추적(ETW)을 비활성화한다.

 

---

[1] https://www.smpa.go.kr/user/nd42986.do?View&uQ=&pageST=SUBJECT&pageSV=&imsi=imsi&page=1&pageSC=SORT_ORDER&pageSO=DESC&dmlType=&boardNo=00300907&returnUrl=https://www.smpa.go.kr:443/user/nd4

[2] https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/

[3] https://www.proofpoint.com/us/blog/threat-insight/ta422s-dedicated-exploitation-loop-same-week-after-week

[4] https://securityintelligence.com/x-force/itg05-ops-leverage-israel-hamas-conflict-lures-to-deliver-headlace-malware/

[5] https://cert.gov.ua/article/6276894

[6] https://www.fortinet.com/blog/threat-research/teamcity-intrusion-saga-apt29-suspected-exploiting-cve-2023-42793

[7] https://cert.pl/en/posts/2023/12/apt29-teamcity

[8] https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks/

[9] https://home.treasury.gov/news/press-releases/jy1962

[10] https://blog.sekoia.io/calisto-doxxing-sekoia-io-findings-concurs-to-reuters-investigation-on-fsb-related-andrey-korinets/

[11] https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247494512&idx=1&sn=151caeb7b46c3a6a58af714a576a8442