목적 및 범위

 

본 보고서에서는 특정 국가 정부 지원으로 사이버 간첩(Cyber Espionage) 행위나 비밀 파괴공작(Sabotage) 활동을 하고 있다고 추정되는 국가 주도 위협 그룹에 대해 다루며 편의상 ‘APT 그룹’이라 부른다. 따라서 본 보고서에서는 금전적 이득을 목적으로 하는 사이버 범죄 그룹에 대해서는 다루지 않는다.

 

한 달 동안 안랩을 포함한 보안 업체와 기관에서 공개한 APT 그룹 분석 내용을 바탕으로 정리했으며 일부 APT 그룹의 내용이 누락되었을 수 있다.

 

보안업체나 연구가에 따라 APT 그룹의 이름과 분류 기준이 다를 수 있으며 이 보고서는 ATIP (AhnLab Threat Intelligence Platform)에 정리된 Threat Actors 대표 이름을 기준으로 한다.

 

APT 그룹 동향

 

 

2024년 7월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.

 

1)   APT17

 

TG소프트는 2024년 6월과 7월 이탈리아의 기업과 정부 기관을 공격한 APT17 그룹의 활동을 공개했다.[1]

 

공격자는 첫 번째 공격에는 악성 오피스 문서를 전달했고, 두 번째 공격은 악성 링크를 포함한 이메일을 보냈다. 두 공격은 피해자에게 9002Rat 악성코드가 포함된 Skype for Business 패키지를 설치하도록 유도했다.

 

네트워크 트래픽을 모니터링하는 프록시 기능을 가진 9002Rat 악성코드는 플러그인을 다운로드하여 기능을 추가할 수 있는 모듈형 악성코드로, 오래된 악성코드이지만 2024년에도 계속 업데이트되고 있다.

 

악성 페이지에 정부 기관의 링크가 사용된 것은 공격자가 이전에 감염된 이탈리아 기업 또는 기관의 기밀 정보를 활용했기 때문으로 보인다.

 

2)   APT40

 

CISA[2]와 BitDefender[3]는 APT40 그룹이 호주 네트워크를 목표로 공격했다고 밝혔다.

 

APT40 그룹은 호주 네트워크를 대상으로 여러 차례의 침입을 시도했는데 Log4J, Atlassian Confluence, Microsoft Exchange와 같은 널리 사용되는 소프트웨어의 공개된 취약점을 악용했다.

 

이들은 초기 침입 단계에서 웹 셸을 사용하여 지속성을 확보하며, 소형 오피스/홈 오피스(SOHO) 장치를 인프라로 사용하여 탐지가 어렵게 했다.

 

다른 조직에 대한 공격 사례에서도 APT40는 원격 접속 포털을 통해 네트워크를 공격하여 수백 개의 유효한 사용자 이름과 비밀번호를 수집하였다.

 

3)   APT41

 

Zscaler ThreatLabz는 APT41이 사용하는 새로운 로더인 DodgeBox[4]와 새로운 백도어 MoonWalk[5] 정보를 공개했다.

 

DodgeBox는 StealthVector의 변종과 유사하며, 다양한 회피 기술을 사용한다. 특히 Google Drive를 이용한 C2 통신이 특징이다. 이 로더는 환경 검사, DLL 사이드로딩, DLL 할로잉 등의 기술을 통해 탐지를 회피하며, AES-CFB 모드를 사용해 설정을 암호화한다.

 

MoonWalk는 DodgeBox를 통해 로드되며, Google Drive를 C2 통신에 이용한다. MoonWalk는 DLL 할로잉, import 해제, DLL 언후킹, 스택 스푸핑 등의 기술을 사용한다. 또한 Windows Fibers를 사용해 보안 프로그램 우회를 시도한다. 모듈형 설계로 다양한 시나리오에 맞춰 기능을 쉽게 업데이트하고 수정할 수 있다.

 

Mandiant는 APT41가 유럽과 중동의 해운 및 물류 부문, 아시아의 미디어 및 엔터테인먼트 부문을 공격했다고 밝혔다.[6] APT41의 주요 악성코드인 DUSTPAN과 DUSTTRAP은 각각 인메모리 드로퍼와 다단계 플러그인 프레임워크를 통해 작동한다. SQLULDR2와 PINEGROVE는 각각 데이터 추출 및 업로드 도구로 사용되었다. 이 그룹은 코드 서명 인증서를 도용하여 악성코드를 서명하고, 게임 산업의 기업 들로부터 도용된 인증서를 사용한 것으로 나타났다. APT41는 ANTSWORD와 BLUEBEAM 웹 셸을 사용하여 Tomcat Apache Manager 서버에서 지속성을 확보하였다. 이 웹 셸들은 2023년부터 활성화되어 certutil.exe를 실행해 DUSTPAN 드로퍼를 다운로드하고 이를 통해 BEACON을 로드하였다. DUSTTRAP는 악성 페이로드를 메모리에서 실행하여 흔적을 최소화했다.

 

4)   Andariel (APT45)

 

미국 정부는 Andariel 그룹과 관계된 인물을 기소[7]하고 Andariel 그룹에 대해 경고했다.[8] 마이크로소프트[9]와 맨디언트[10]도 Andariel 그룹과 관련된 활동 정보를 공개했다.

 

이 그룹은 2017년부터 정부 기관과 방위 산업에 대한 집중적인 활동을 시작했으며, 2019년에는 핵 문제와 에너지에 대한 지속적인 관심과 맞물려 활동이 감지되었다.

 

Andariel 그룹은 민감한 군사 정보와 방산, 우주항공, 원자력, 공학 분야의 지적 재산을 주요 타깃으로 하고 있으며, 의료와 에너지 산업도 어느 정도 공격 대상에 포함된다. 그들은 주로 미국의 의료 기관을 대상으로 랜섬웨어 공격을 수행하여 첩보 활동을 위한 자금을 마련하며, 경우에 따라 동일한 날에 랜섬웨어 공격과 사이버 첩보 활동을 동시에 수행하기도 한다.

 

사용한 취약점으로는 Apache ActiveMQ(CVE-2023-46604), TeamCity(CVE-2023-42793), Citrix NetScaler(CVE-2023-3519) 등이다.

 

주요 악성코드로는 Atharvan, ELF Backdoor, Jupiter, MagicRAT, TigerRAT, SmallTiger, LightHand, ValidAlpha 등이 있으며, Sliver, Themida, VMProtect와 같은 상용 툴을 이용해 악성코드를 난독화 했다.

 

---

[1] https://www.tgsoft.it/news/news_archivio.asp?id=1557

[2] https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-190a

[3] https://www.bitdefender.com/blog/businessinsights/understanding-apt40-insights-from-cisas-latest-joint-security-advisory/

[4] https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-part-1

[5] https://www.zscaler.com/blogs/security-research/moonwalk-deep-dive-updated-arsenal-apt41-part-2

[6] https://cloud.google.com/blog/topics/threat-intelligence/apt41-arisen-from-dust/

[7] https://www.fbi.gov/wanted/cyber/rim-jong-hyok

[8] https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a

[9] https://www.microsoft.com/en-us/security/blog/2024/07/25/onyx-sleet-uses-array-of-malware-to-gather-intelligence-for-north-korea/

[10] https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine/