최근 국내 기업 및 기관을 대상으로 한 북한 안다리엘(Andariel) 해킹그룹의 APT(지능형 지속 위협) 공격 사례가 확인됐다.
이번 공격의 대상은 국내 제조업, 건설 업체 및 교육 기관으로, 공격자는 백도어, 키로거, 인포스틸러, 프록시 도구 등을 사용하여 감염 시스템을 제어하고 데이터를 탈취한 것으로 추정된다.
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면, 안다리엘 공격그룹은 과거 공격에서 사용된 악성코드와 함께 새로운 악성코드를 활용했다. 대표적인 예로 백도어 악성코드인 네스트도어(Nestdoor)와 함께 웹쉘이 확인되었으며, 과거 라자루스 그룹의 공격에서 사용된 프록시 도구도 함께 사용된 것으로 조사됐다.
이번 공격에서 발견된 주요 정황 중 하나는 아파치 톰캣 서버를 운영 중인 웹 서버를 공격해 악성코드를 유포한 사례다. 해당 시스템은 2013년에 제작된 아파치 톰캣이 동작 중이었기 때문에 다양한 취약점 공격이 가능했다. 공격자는 웹 서버를 공격해 백도어와 프록시 도구를 설치했다.
악성코드 네스트도어는 2022년 5월경부터 확인된 RAT(원격 접근 트로이목마) 악성코드다. 이 악성코드는 공격자의 명령을 받아 감염 시스템을 제어할 수 있으며, 안다리엘 그룹의 공격 사례에서 지속적으로 발견되고 있다. 네스트도어는 파일 업로드/다운로드, 리버스 쉘, 명령 실행 등의 기능을 수행할 수 있으며, 키로깅, 클립보드 로깅, 프록시 기능을 제공한다. 이번 공격에서는 과거 유형과 비교해 C2 통신 과정에서 사용하는 명령 번호가 변경되었으며, 더 적은 기능들을 지원하였다.
안다리엘 그룹은 새로운 백도어 악성코드 Dora RAT을 사용했다. 이 악성코드는 Go 언어로 개발되었으며, 리버스 쉘, 파일 다운로드/업로드 기능을 지원하는 단순한 형태이다. Dora RAT은 단독 실행 파일 형태와 탐색기 프로세스에 인젝션되어 동작하는 형태 두 가지로 확인되었다.
공격자는 WinRAR SFX 포맷의 실행 파일을 이용해 정상 프로그램과 인젝터 악성코드를 설치했다. 인젝터 악성코드는 Dora RAT을 복호화해 탐색기 프로세스에 인젝션하는 방식으로 동작한다. 일부 Dora RAT은 유효한 인증서로 서명되어 있어 더욱 주의가 요구된다.
공격자는 키로깅 및 클립보드 로깅 기능을 지원하지 않는 네스트도어의 한계를 보완하기 위해 별도의 키로거 및 클립로거 악성코드를 추가 설치했다. 이 악성코드는 %TEMP% 경로에 로깅한 정보를 저장했다. 또한 대량의 파일 탈취를 위한 스틸러 악성코드와 프록시 도구들도 함께 사용되었다. 특히, 과거 라자루스 그룹의 ThreadNeedle을 이용한 공격에서 사용된 프록시 도구가 재사용되었다.
ASEC 측은 “안다리엘 그룹은 김수키, 라자루스 그룹과 함께 국내를 대상으로 활발히 활동하는 위협 그룹 중 하나다. 이들은 초기에는 안보 관련 정보를 획득하기 위해 공격을 수행했으나, 최근에는 금전적 이득을 목적으로 한 공격도 진행하고 있다”며 “사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일을 주의해야 하며, 기업 보안 담당자는 소프트웨어의 최신 버전으로 패치를 수행해야 한다. OS 및 인터넷 브라우저 등의 최신 패치 및 V3 업데이트를 통해 악성코드 감염을 사전에 차단하는 것이 중요하다”고 강조했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★