Larva-24011 공격자의 최신 공격 동향 분석 보고서
1. 개요
Larva-24011 공격자는 금전적 수익을 목적으로 취약한 시스템들을 공격해 CoinMiner와 Proxyware를 설치하고 있다. ASEC(AhnLab SEcurity intelligence Center)은 최근 Larva-24011 공격자의 활동을 모니터링하던 중 CoinMiner와 Proxyware를 설치하는 목적 외에도 원격 제어 악성코드를 설치하거나 백도어 계정을 추가하는 등 감염 시스템을 제어하고 정보를 탈취하는 공격 사례가 늘고 있는 것을 확인하였다.
부적절하게 관리되는 IIS, Tomcat 웹 서버와 MS-SQL 서버를 공격하는 Larva-24011 공격자는 적어도 2021년부터 활동이 확인되고 있다. 취약한 시스템들을 대상으로 하는 공격의 특성상 공격 대상은 특정할 수 없으며, 사용하는 다수의 도구들에서 중국어가 확인되는 것을 통해 공격자를 중국어 사용자로 추정하고 있다. 공격자는 초기에는 부적절하게 관리되고 있는 MS-SQL 서버에 대한 무차별 대입 공격 및 사전 공격 및 통해 CoinMiner를 설치하였으며, 이후 Proxyware를 함께 설치하는 등의 방식으로 금전적 수익을 얻었다.
여기에서는 CoinMiner와 Proxyware를 이용한 Larva-24011 공격자의 과거 공격 사례들과 함께 최근 확인된 공격 사례들을 다룬다. 최근 공격 사례에서 공격자는 Gh0st RAT과 같은 원격 제어 악성코드를 설치하거나 백도어 계정을 추가하고 있으며 RDP Wrapper와 Proxy 도구들을 설치하여 감염 시스템에 대한 제어를 탈취하고 있다.
2. 악성코드 분석
2.1. 초기 침투 사례
MS-SQL 서버를 대상으로 하는 공격 사례에서는 무차별 대입 공격 또는 사전 공격을 통해 초기 침투하는 것으로 보인다. 이는 Larva-24011 공격자에 의해 침해된 시스템들에서 일반적으로 이러한 공격을 통해 설치되는 다른 악성코드들이 다수 확인되는 것을 통해 추정할 수 있다.
Larva-24011 공격자는 최초 침투 이후 SqlShell을 공격에 사용하고 있는데 SqlShell은 단순히 리소스에 포함된 Proxyware나 CoinMiner에 대한 드로퍼 및 로더 기능을 수행하였으며 공격자의 명령을 수행하는 부분은 존재하지 않는다. 하지만 최신 공격 사례에서는 리소스에 “CMD” 프로그램을 포함하고 있으며 SqlShell 또한 이를 이용한 명령 실행, Potato 기능을 활용한 권한 상승, Proxy, 파일 다운로드 등 감염 시스템을 제어하기 위한 목적의 기능들을 포함하는 것이 특징이다.
Figure 1. 최신 공격 사례에서 확인된 SqlShell
Larva-24011 공격자는 주로 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 공격해 왔지만 최근에는 웹 서버 또한 공격 대상이 되고 있다. IIS 서버뿐만 아니라 Tomcat 서버를 대상으로 한 공격 사례가 확인되며 먼저 웹쉘을 설치하고 이후 이를 이용해 추가 페이로드를 설치한다. 참고로 수집된 웹쉘들 중에는 다음과 같이 중국어가 포함되어 있기도 하다. 공격 사례에서 확인된 악성코드들 중에는 이외에도 다수의 샘플들에 중국어 문자열이 포함되어 있는데 이는 공격자가 중국어 사용자일 가능성을 보여준다.
Figure 2. 취약한 Tomcat 서비스에 의해 생성된 악성코드
2.2. CoinMiner 및 Proxyware 공격 사례
과거 공격 사례에서는 초기 침투 이후 MS-SQL 데이터 폴더에 sqlbase 폴더를 생성하고 해당 경로에 “SqlBase.exe”라는 이름의 악성코드를 생성하였다. SqlBase.exe는 닷넷으로 개발된 단순한 형태의 다운로더 악성코드로서 C&C 서버로부터 설정 데이터 및 CoinMiner를 다운로드하여 설치하는 기능을 수행한다.
CoinMiner는 비록 과거와 비교해서 수량이 많이 줄어들었지만 최신 공격 사례에서도 확인된다. 정상 프로그램을 위장한 형태로 유포하는 것이 특징이며 XMRig를 서비스에 등록한다. 하지만 다음과 같이 CoinMiner가 리소스에 “gmp”라는 이름으로 저장된 점은 과거와 동일하다.
Figure 3. gmp라는 이름의 리소스에 저장된 CoinMiner 악성코드
Larva-24011 공격자는 2022년 6월 초부터 부적절하게 관리되고 있는 MS-SQL 서버를 공격하여 Peer2Profit 업체의 Proxyware를 “sdk.mdf”라는 이름으로 설치하였다. 공격자는 CoinMiner뿐만 아니라 Proxyware도 지속적으로 업데이트하였는데 2023년 8월경에는 “sdk.mdf” 대신 “winupdate0.mdf”라는 이름의 악성코드를 생성하였다. “winupdate0.mdf”는 드로퍼 악성코드로서 감염 시스템에 다양한 Proxyware들을 설치한다. .NET으로 개발된 기존 CLR Assembly와 달리 “winupdate0.mdf”는 .NET이 아니라 .NET Native AOT 컴파일 방식으로 제작된 것이 특징이다. 악성코드는 실질적으로 드로퍼 기능을 담당하며 런처 악성코드인 “warpstrat.dll”와 Proxyware 도구들인 Traffmonetizer, IPRoyal, Proxyrack, PacketStream을 설치한다. GmpStart() 함수는 다음과 같이 단순한 형태로서 각각의 함수들에서 차례대로 설치를 담당하며 파일들은 모두 %APPDATA% 경로에 설치된다. 드로퍼는 설치한 Proxyware들을 직접 실행하는 대신 “warpstrat.dll”을 이용해 간접적으로 실행한다.
| 종류 | 경로 | 파일명 | 기능 |
|---|---|---|---|
| Launcher | %APPDATA%\ | warpstrat.dll | 런처 도구 |
| Traffmonetizer | %APPDATA%\sraffzer\ | sraffzer.exe 등 | Traffmonetizer Proxyware |
| %APPDATA%\traffmonetizer\ | settings.json 등 | Traffmonetizer 설정 파일 | |
| IPRoyal | %APPDATA%\ | SQLSERVERHUP.dll | IPRoyal Proxyware |
| %APPDATA%\ip_royal_paws\ | 기타 파일들 | IPRoyal 설정 파일 | |
| Proxyrack | %APPDATA%\ | sqlgo.exe | Proxyrack Proxyware |
| %APPDATA%\ | prokey.obj | Proxyrack 설정 파일 | |
| PacketStream | %APPDATA%\ | psexitnode.exe | PacketStream Proxyware |
Table 1. 설치되는 Proxyware 목록
2.3. 원격 제어
사례에서 직접 확인된 악성코드는 Gh0st RAT뿐이지만 다운로더 유형의 악성코드들도 소수 확인되는 점을 통해 또 다른 악성코드를 사용할 가능성도 존재한다.
Gh0st RAT은 C. Rufus Security Team에서 개발한 원격 제어 악성코드이다. 소스 코드가 공개되어 있기 때문에 악성코드 개발자들이 이를 참고하여 다양한 변종들을 개발하고 있으며 최근까지도 지속적으로 공격에 사용되고 있다. Gh0st RAT은 주로 취약한 서비스 즉 웹 서버나 MS-SQL 서버 대상 공격에 자주 사용되는 것이 특징이다. 또한 비록 소스 코드가 공개되어 있지만 중국어를 사용하는 공격자들이 주로 사용하는 것이 특징이다.
Figure 4. 공격에 사용된 Gh0st RAT
이외에도 보안 제품을 우회하기 위해 정상적인 목적으로도 사용되는 원격 제어 도구인 AnyDesk를 설치한 사례도 확인된다. 이러한 알려진 악성코드 외에 새로운 유형의 악성코드들도 확인된다. 주로 다운로더 유형들인데 대표적으로 AuAgent가 있다. AuAgent는 “mpclient.exe”, “mpclient.dll”, “mpclient.dat” 파일을 다운로드하는 다운로더인데 “.dat” 파일이 사용되는 것을 보면 중국 기반의 공격자들이 자주 사용하는 PlugX로 추정되지만 분석 당시 다운로드에 실패하여 실제 악성코드는 확인할 수 없다.
Figure 5. AuAgent의 설정 데이터
공격자는 Mimikatz를 이용해 기존 사용자의 자격 증명 정보를 탈취하거나 NetUser 도구를 이용해 백도어 계정을 추가하기도 한다. 대부분의 유형은 공격자의 명령을 전달받아 동작하는 NetUser 도구이지만 다음과 같이 추가할 계정의 ID/PW가 직접적으로 하드코딩되어 있는 경우도 존재한다.
| No | ID | Password |
|---|---|---|
| 1 | test123 | TestPass123@\ |
| 2 | admin$ | getm0ney.$$$ |
| 3 | TempUser$ | TempUser888#NULL… |
Table 2. 공격자가 사용하는 자격 증명 정보
참고로 공격 과정에서 확인된 웹쉘뿐만 아니라 NetUser 도구들도 다음과 같은 중국어 문자열들을 확인할 수 있다.
Figure 6. 악성코드에서 확인되는 중국어
이후 확보된 계정을 통해 감염 시스템을 원격에서 제어하기 위해 공격자는 RDP Wrapper를 설치하며 감염 시스템이 내부망에 존재하는 경우를 위해 포트 포워딩 도구인 PortTranC를 사용하기도 한다. PortTranC가 사용된 로그 및 악성코드들이 모두 C&C 서버와 로컬의 3389 포트를 연결하는 것을 보면 공격자는 PortTranC를 RDP 원격 제어를 위해 사용하는 것으로 보인다.
공격자는 이외에도 다양한 해킹툴들을 사용한다. 웹 서버나 MS-SQL 서버같이 취약한 서비스를 공격하기 때문에 PrintSpoofer나 Potato 같은 권한 상승 도구들의 비중이 높다. 이외에도 SQL 서버의 비밀번호 크랙 도구인 SQLck나 비밀번호 스니퍼인 SQLServerSniffer를 감염 시스템에 설치하기도 한다.
Figure 7. 감염 시스템에 설치된 SQL 핵툴들
