2024년 10월 보안 업체와 기관에서 공개된 분석 내용을 종합한 주요 APT 그룹의 사례는 다음과 같다.

 

1)   Andariel

 

Symantec Threat Hunter 팀은 Andariel 그룹이 미국 내 기업들을 대상으로 금전적 동기를 가진공격을 수행하고 있다는 증거를 발견했다.[1]

 

이 그룹은 2024년 7월 미국 법무부의 기소 이후에도 공격을 이어가고 있으며, 8월에는 미국 기업 세 곳을 대상으로 공격을 수행했다. 공격 대상은 모두 민간 기업으로 확인됐으며, 금전적 이득을 노린 것으로 추정된다.

 

해당 공격에는 가짜 ‘Tableau’ 인증서를 포함한 두 개의 고유한 인증서와 Preft 백도어, Nukebot 백도어 등이 사용됐다. Preft 백도어는 파일 다운로드, 업로드, 명령 실행 등 다양한 기능을 수행하며, 여러 종류의 플러그인을 지원한다. Nukebot 백도어는 명령 실행, 파일 전송, 스크린샷 촬영 기능을 수행하며, 이번 공격에서 처음 발견됐다. 또한, Sliver, Chisel, PuTTY, Megatools 등 오픈소스 및 공개된 도구들을 사용해 공격을 수행했다. 공격자는 두 종류의 키로거를 사용했다. 첫 번째 키로거는 클립보드 데이터 탈취 및 특정 프로그램의 키 입력을 기록했고, 두 번째 키로거는 클립보드 데이터를 무작위로 생성한 DAT 파일에 기록했다. 이후 공격자들은 악성 배치 파일을 사용하여 평문 자격 증명을 활성화했고, Mimikatz로 자격 증명을 추출했다.

 

Palo Alto Networks Unit 42는 Andariel 그룹이 기존에 사용하던 맞춤형 랜섬웨어에서 벗어나 Play 랜섬웨어의 인프라를 활용하고 있는 것으로 확인됐다.[2] 이들은 Initial Access Broker(IAB) 역할 또는 Play 랜섬웨어 그룹의 협력자로 활동하는 것으로 추정된다.

 

이들은 SMB 프로토콜을 통해 여러 호스트에 Sliver와 DTrack 악성코드를 전파했다. Sliver 비콘은 9월 초까지 확인됐고, 그 후 Play 랜섬웨어가 실행됐다. Andariel 그룹은 Impacket의 크리덴셜 수집 모듈 (Credential Harvesting Module)인 secretsdump.py를 사용해 계정을 탈취했다.

 

Play 랜섬웨어 조직은 RaaS 모델을 공식적으로 부인했으나, Andariel 그룹이 IAB 역할로서 확보한 네트워크 접근 권한을 판매했을 가능성도 있다. 이들의 Sliver C2 서버는 랜섬웨어 배포 직후 오프라인 상태로 전환됐다.

 

이 사건은 Andariel 그룹과 언더그라운드 랜섬웨어 네트워크 간의 첫 공식 협력 사례로, 향후 북한 해커 그룹의 랜섬웨어 시장 확대 가능성을 시사한다.

 

 

2)   APT28

 

360은 APT28 그룹이 Headlace와 Masepie 같은 악성코드를 사용해 공격을 수행하고 있다고 공개했다.[3]

 

이 공격에서는 주로 Windows 업데이트나 문서 아이콘으로 위장된 LNK 파일을 사용하고 있으며, DLL 하이재킹을 통해 BAT 파일 실행을 유도한다. 또한 지리적 차단(Geofencing) 전략을 사용해 특정 지역의 시스템을 타깃으로 삼고 있으며, 이를 통해 공격 성공률을 높이고 있다.

 

Headlace 악성코드는 압축 파일을 통해 공격이 시작되며, 압축 파일 내 CMD 와 BAT 파일을 통해 최종 악성코드가 실행된다.

 

Masepie 악성코드는 유도 페이지와 LNK 파일을 활용한 PowerShell 스크립트를 통해 악성코드를 실행하고, 지속적인 제어권을 확보한다. Masepie 악성코드는 시스템 정보를 수집하고 C2서버 와 통신을 통해 추가 명령을 수신한다.

 

이와 같이 다단계 공격 방식은 공격의 은폐성을 높이며, 방어와 대응을 어렵게 만드는 주요 요인이 되고 있다.

 

CERT-UA는 APT28 그룹의 소행으로 추정되는 우크라이나 지역 정부 기관을 대상으로 한 피싱 이메일 공격을 분석했다.[4]

 

피싱 이메일은 Google 스프레드시트를 가장한 링크를 포함하고 있다. 사용자가 링크를 클릭하면 reCAPTCHA를 모방한 창이 나타나고, “I’m not a robot” 항목을 클릭 시 PowerShell 명령어가 클립보드에 복사된다. 사용자가 PowerShell을 통해 복사된 명령어를 실행하면, browser.hta 파일과 Browser.ps1 스크립트가 다운로드되고 실행된다. Browser.ps1 스크립트는 SSH 터널 구축, 브라우저 인증 데이터 및 기타 정보를 유출하는 기능을 수행한다. 또한, 이 추가적으로 Metasploit 프로그램을 다운로드하여 실행하는 단계도 포함하고 있다.

 

CERT-UA는 2024년 9월 발생한 또 다른 이메일 공격 사례도 분석했다. 해당 공격에서는 Roundcube 취약점(CVE-2023-43770)을 악용하여 사용자 인증 정보를 탈취하고, SystemHealthCheck라는 필터를 생성했다. 이 필터는 피해자의 이메일 내용을 공격자 이메일로 자동 전송하는 기능을 수행한다.

 

위 두 공격 모두 동일한 서버가 C&C (명령 및 제어) 인프라로 사용되었다. 추가 분석에서 10개 이상의 정부 기관 이메일 계정이 침해된 것으로 확인됐다. 공격자들은 이 계정들을 통해 지속적으로 데이터를 수집했을 뿐만 아니라, 다른 국가의 방위 관련 기관을 대상으로 악성 이메일을 유포하는 데에도 활용했다.

 

 

3)   APT29

 

Microsoft Threat Intelligence는 2024년 10월 22일부터 러시아 기반 위협 그룹 APT29가 스피어 피싱(Spear-Phishing) 이메일을 영국, 유럽, 호주, 일본 등 여러 나라의 정부 기관, 방위, 학계 및 비영리 단체(NGO) 등 주요 부문에 발송한 것을 확인했다.[5]

 

공격자는 사전에 탈취한 Microsoft 계정 또는 클라우드 서비스 제공자 계정을 활용해 악성 이메일을 발송했다.

 

이번 공격에서 APT29는 첨부 파일에 서명된 Remote Desktop Protocol(RDP) 구성 파일을 포함했으며, 수신자가 이를 열면 악성 서버와 연결된다.

 

이 그룹은 이전에도 여러 조직을 대상으로 스피어 피싱 공격을 수행했으나, RDP 파일을 통해 접속을 시도한 것은 이번이 처음이다. 이 공격으로 타깃 시스템은 파일, 네트워크 드라이브, 주변 장치, 웹 인증 정보 등의 자원을 공격자 서버로 공유하게 된다. 공격자는 피해자의 기기에 악성코드를 설치해 세션 종료 후에도 지속적인 접근을 유지할 수 있다.

 

---

[1] https://symantec-enterprise-blogs.security.com/threat-intelligence/stonefly-north-korea-extortion

[2] https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/

[3] https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247501024&idx=1&sn=d93b1d195596dcc3d5fb41ca18006dfe

[4] https://cert.gov.ua/article/6281123

[5] https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/