실제 사례로 살펴보는 안다리엘 위협 그룹의 특징과 공격 기법
안다리엘(Andariel) 그룹은 라자루스(Lazarus)의 협력 또는 하위 조직으로 알려져 있다. 안다리엘은 2008년부터 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 국내의 기업 및 기관을 대상으로 공격을 수행해왔다. 이 외에도 대학교, 운송업체, ICT 업체도 공격의 표적으로 삼았다.
안랩은 안다리엘 그룹의 행보를 지속적으로 모니터링하고 있다. 이번 글에서는 실제 공격 사례를 통해 안다리엘 그룹이 국내 기업 또는 기관을 대상으로 어떤 악성코드와 공격 기법을 사용했는지 자세히 알아본다.
먼저 안다리엘 그룹의 특징을 간단히 설명하면, 안다리엘은 최초 침투 과정에서 주로 스피어 피싱이나 워터링 홀(Watering Hole), 공급망 공격을 수행한다. 악성코드를 설치하는 과정에서 중앙관리 솔루션을 악용하기도 한다. 이들은 공격에 사용되는 다양한 악성코드를 직접 제작하는데, 그 예시로는 안다랫(Andarat), 안다랫엠(Andaratm), 판도어(Phandoor), 리프도어(Rifdoor), 그리고 수년 전부터 확인된 타이거랫(TigerRAT), 매직랫(MagicRAT)과 같은 백도어 유형이 대부분이다.
올해 상반기 안다리엘 그룹의 공격 사례에서는 고(Go) 언어 기반의 악성코드가 다수 확인됐다. 과거 이노릭스 에이전트(Innorix Agent)를 악용한 공격에서는 고 언어로 개발된 리버스 쉘(Reverse Shell)이 사용됐으며, 국내 기업을 대상으로 한 공격에는 블랙랫(BlackRAT)이 발견됐다. 블랙랫 악성코드 역시 고 언어로 제작됐으며, 명령 실행뿐만 아니라 파일 다운로드, 스크린 캡처 등의 기능도 지원한다. 이 같은 흐름은 최근까지도 이어져 고트랫(Goat RAT), 두리안비콘(DurianBeacon)과 같은 고 언어로 제작된 다양한 악성코드가 공격에 사용되고 있다.
[그림 1] 고 언어로 개발된 두리안비콘의 소스 코드 정보
이제 본격적으로 안다리엘 그룹이 최근 국내 기업을 공격한 사례를 살펴보자. 안다리엘 그룹은 올해 3월 국내 빙산 업체 및 전자 장비 업체를 공격해 악성코드를 유포했다. 최초 침투 방식은 아직 확인되지 않았지만, 안랩의 ASD(AhnLab Smart Defense) 인프라에서는 mshta.exe 프로세스가 타이거랫(TigerRAT)을 설치한 로그와 mshta.exe 프로세스를 종료하는 로그가 확인됐다. 이 점으로 미루어 보아, 스피어 피싱 공격으로 추정된다.
[그림 2] 타이거랫을 설치하는 mshta 프로세스
참고로 타이거랫은 안다리엘 그룹이 2020년부터 최근까지 꾸준히 사용해 오고 있는 RAT 악성코드로, 스피어 피싱 메일에 첨부된 악성 매크로 문서 파일이나 워터링 홀 공격을 통해 유포된다. 타이거랫은 파일 작업, 명령 실행과 같은 기본적인 기능 외에 정보 수집, 키로깅, 스크린 캡처, 포트 포워딩 등의 기능도 지원하며, C&C 서버와 최초로 통신할 때 인증 과정이 존재한다. 인증 시에는 [그림 3]처럼 SSL 통신을 위장한 문자열을 사용한다.
[그림 3] C&C 서버와의 인증에 사용된 문자열(과거 버전)
또한, 리버스 쉘(Reverse Shell)과 바인드 쉘(Bind Shell) 방식의 누크스페드(NukeSped) 백도어 변종도 공격에 사용됐다. 이 악성코드는 네트워크 스캐닝, 프로세스, 파일 조회, 파일 업로드/다운로드, 명령 실행 등을 지원하며, 타이거랫과 유사하게 C&C 서버와 통신하기 전에 인증 과정을 거친다. 다만, 타이거랫과 누크스페드는 각각 SSL 통신, HTTP 통신으로 위장한다는 점에서 차이가 있다. 누크스페드는 [그림 4]와 같이 POST 요청을 전송한 후 정확히 매칭되는 HTTP 응답이 올 경우에만 C&C 서버와 통신한다.
[그림 4] 인증에 사용되는 HTTP 패킷
최신 공격 사례에서는 이노릭스 에이전트가 악성코드를 다운로드하지 않고 직접 생성하는 방식이 사용됐다.
공격에 사용된 악성코드는 기존에 안다리엘 그룹이 사용한 유형은 아니지만, 이노릭스가 공격에 사용된 점, 국내 대학교를 주요 표적으로 삼았다는 점 등에서 일부 과거의 공격 사례와 유사한 부분도 있다. 더 나아가, 비슷한 시기에 국내 ICT 및 전자 장비, 조선, 제조업 등 다양한 산업군의 기업을 겨냥한 공격 사례가 확인됐으며, 분석 결과 이노릭스 악용 사례에서 발견된 악성코드와의 연관성도 확인할 수 있었다.
또한, 안랩은 이노릭스 에이전트를 악용한 공격 사례와 별개로, 유사한 시점에 발생한 또 다른 공격을 확인했다. 이 역시 최초 유포 경로는 확인되지 않았지만, 난독화에 닷푸스카터(Dotfuscator) 툴을 사용하는 악성코드가 사용됐다. 해당 악성코드는 C&C 서버와 SSL 통신을 수행하며, C&C 서버와 연결할 경우 ‘sslClient’ 문자열이 사용된다. 난독화 툴과 C&C 서버와의 통신 방식 모두 안다르도어(Andardoor)와 동일하거나 유사하다는 점이 특징이다.
[그림 5] C&C 서버와의 SSL 연결 과정
해당 공격에 사용된 악성코드는 외부에서 닷넷 어셈블리와 같은 실행 가능한 데이터를 받아 실행하는 다운로더 기능이 전부이다. C&C 서버가 내린 명령들 중 [표 1]의 명령에 따라 전달 받은 코드를 실행하거나 종료할 수 있다.
[표 1] 수행 가능한 명령 목록
이 밖에, 안랩은 공격 과정에 두리안비콘 악성코드가 사용된 정황도 포착했다. 두리안비콘은 각각 고 언어와 러스트 언어로 개발된 2가지 형태로 존재하며, 모두 백도어 악성코드이다. 두리안비콘 역시 C&C 서버로부터 공격자의 명령을 받아 악성 행위를 수행한다.
고 버전과 러스트 버전의 두리안비콘은 C&C 서버와 통신하는 방식이 서로 다르다. 고 언어로 개발된 두리안비콘은 SSL 프로토콜을 사용해 C&C 서버와 통신하지만, 러스트 버전의 두리안비콘은 XOR 이용한 패킷 암호화를 지원한다. 하지만 최초 접속 이후 감염 대상 시스템의 IP 정보와 사용자 이름, 데스트탑 PC 이름, 아키텍처, 파일명을 전송한 후, 명령을 대기하고, 명령 전달 시 결과를 반환한다는 점은 두 버전 모두 동일하다. 러스트 버전의 두리안비콘이 지원하는 XOR 암호화란 무차별 대입 방식, 즉, 올바른 암호 텍스트와 일치하는 암호화 키를 임의로 생성하는 암호화 기법을 말한다.
[그림 6] 두리안비콘이 지원하는 기능
[그림 7] XOR 암호화를 지원하는 러스트 보전의 두리안비콘
지금까지 소개한 2가지 안다리엘 공격 사례에서 공통적으로 나타나는 특징을 종합해 정리하면, 국내 기업 및 기관에 고 언어로 개발된 악성코드가 지속적으로 유포되고 있다는 점이다. 악성코드 설치 시 사용한 경로와 파일명에서도 유사성이 확인됐다.
이 외에, 공격자의 테스트 PC로 추정되는 시스템과 직접 제작한 정보 탈취형 악성코드가 사용된 점도 동일하다. 과거 안다리엘 그룹은 공격 과정에서 계정 정보 탈취를 전담하는 악성코드를 설치해 인터넷 익스플로러나 크롬, 파이어폭스 웹 브라우저 등에 저장된 계정 정보를 탈취한 바 있다.
[그림 8] 과거 공격 사례에서 확인된 정보 탈취 악성코드
최근 공격에 사용된 정보 탈취형 악성코드 역시 이와 유사한 형태이다. 이전과 차이점이 있다면, 웹 브라우저 만을 표적으로 삼아 계정 정보뿐만 아니라 히스토리까지 탈취했다. 또한, 계정 정보를 커맨드 라인으로 출력했던 과거와는 다르게, 최근에는 탈취한 정보를 동일한 경로에 ‘error.log’라는 이름의 파일로 생성했다.
[그림 9] 최근 공격 사례에서 확인된 정보 탈취형 악성코드
이처럼 안다리엘 그룹은 김수키(Kimsuky), 라자루스 그룹과 함께 국내에서 활발히 활동하고 있다. 초기에는 주로 안보와 관련된 정보를 획득하기 위해 공격을 전개했지만, 이후에는 금전적 이익을 목적으로 하는 공격도 수행하고 있다. 초기 침투 시 주로 스피어 피싱 공격이나 워터링 홀 공격, 소프트웨어 취약점 공격을 수행했으며, 공격 과정에서 다른 취약점을 악용해 악성코드를 배포한 정황도 확인됐다.
따라서 사용자는 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일의 경우 각별히 주의해서 사용해야 하며, 운영체제(OS) 및 인터넷 브라우저 등의 프로그램에 대한 최신 패치 및 V3를 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 대비해야 한다.
출처 : AhnLab