국내 자산관리 솔루션 악용해 백도어 악성코드 및 자바스크립트 악성코드 설치
사이버 공격자 사이에서 자주 사용하는 원격 관리 도구 ‘메시에이전트’ 사용
악성코드에 감염된 시스템에서 자격 증명정보 탈취 및 키로깅, 클립보드 로깅 시도
[보안뉴스 박은주 기자] 최근 북한 해킹그룹 ‘안다리엘(Andariel)’이 국내 자산관리 솔루션을 악용해 국내 기업을 공격한 정황이 드러났다. 측면 이동 과정에서 악성코드를 유포하는 방식으로 안다르로더(AndarLoader), 모드로더(ModeLoader) 등의 악성코드를 유포했다.
[이미지=gettyimagesbank]
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 원격 관리 도구 ‘메시에이전트(MeshAgent)’를 설치했다는 점이 이번 공격의 특징이다. 메시에이전트는 원격 제어를 위한 다양한 기능을 제공하기 때문에 사이버 공격자가 자주 악용하는 도구로 알려져 있다.
원격 관리에 필요한 시스템의 기본 정보를 수집하고, 명령 실행, 전원 및 계정 제어 등 기능을 제공한다. 특히 RDP(Remote Desktop Protocol) 및 VNC(Virtual Network Computing)와 같은 원격 데스크톱을 웹 기반으로 지원한다. 원격에서 시스템을 관리하기 위한 기능이 악의적으로 오용되고 있는 것. 안다리엘은 외부에서 ‘fav.ico’라는 이름으로 메시에이전트를 설치했다.
공격에 사용되는 악성코드 : 안다르로더, 모드로더
안다리엘은 과거 이노릭스 에이전트(Innorix Agent) 프로그램을 악용하면서부터 측면 이동 과정에서 악성코드를 유포하기 위해 국내 업체의 자산관리 솔루션을 지속적으로 악용하는 것으로 밝혀졌다.
▲코이VM으로 난독화된 안다르로더[자료=ASEC]
‘안다르로더’는 백도어 악성코드로, 이노릭스 에이전트를 악용한 공격에서 확인된 ‘안다르도어(Andardoor)’와 유사하다. 다만, 작동방식에 차이를 보인다. 안다르로더는 다운로더 악성코드로 닷넷 어셈블리와 같이 실행할 수 있는 데이터를 명령제어(C&C) 서버에서 내려받아 메모리상에서 실행한다. 안다르도어는 대부분 백도어 기능이 바이너리에 구현돼 있으며, C&C 서버로부터 공격자의 명령을 받아 악성 행위를 수행하게 된다. 또한 안다르로더는 코이VM(KoiVM) 이라는 가상화 기술로 난독화됐다.
▲MeshAgent C&C 서버[자료=ASEC]
‘모드로더’는 안다리엘이 과거부터 지속적으로 사용해온 자바스크립트 악성코드다. Mshta 실행파일을 통해 외부에서 다운로드돼 실행되는 것으로 밝혀졌다. ASEC에 따르면 공격자는 주로 자산관리 솔루션을 악용해 모드로더를 다운로드하는 Mshta 명령을 실행한다. 이후 C&C 서버(modeRead.php)에 주기적으로 접속해 Base64로 암호화된 명령을 전달받아 명령을 실행한다. 그 결과를 다시 C&C 서버(modeWrite.php)에 전달하는 방식으로 작동한다.
▲C&C 서버로부터 전달받은 명령을 실행하는 모드로더[자료=ASEC]
공격자는 모드로더를 이용해 추가 악성코드를 설치했을 것으로 예상된다. ASEC는 위와 같은 명령을 통해 ‘SVPNClientW.exe’라는 이름으로 설치된 안다르로더 실행 이력을 확인했다.
한편, 안다르로더와 모드로더 등 백도어 악성코드를 통해 감염시스템 정보를 탈취한 공격자는 미미카츠(Mimikatz) 프로그램을 설치해 시스템의 자격증명 정보 탈취를 노렸다. 이때 미미카츠란 윈도우 운영체제 환경에서 자격증명 정보를 추출하는 프로그램이다.
▲공격에 사용된 키로거 악성코드[자료=ASEC]
이번에 확인된 대부분 공격 사례에서 키보드 입력을 탐지해 각종 정보를 탈취하는 키로거(Key Logger) 악성코드가 발견됐다. 이와 더불어 클립보드 로깅 기능도 보유하고 있는 것으로 드러났다.
이처럼 안다리엘은 북한의 김수키(Kimsuky), 라자루스(Lazarus) 그룹과 함께 국내를 대상으로 활발히 위협 활동을 전개하고 있다. 초기 안보 관련 정보를 획득한 것과 달리, 금전적 이득을 목적으로 한 공격도 발견되고 있다. 공격 초기에 각종 피싱과 워터링 홀 공격 및 소프트웨어 취약점을 노리고 있다. 또한 공격 과정에서 설치된 소프트웨어를 악용해 취약점을 악용하거나 취약점 공격을 통해 악성코드를 배포하고 있다.
이에 사용자는 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 내려받은 실행 파일을 특히 주의해야 한다. ASEC는 “악성코드 감염을 사전에 차단하기 위해 기업 보안담당자는 자산관리 솔루션의 모니터링을 강화하고, OS 및 인터넷 브라우저 등의 프로그램을 최신 버전으로 업데이트해야 한다”고 당부했다.
[박은주 기자(boan5@boannews.com)]
사이버 공격자 사이에서 자주 사용하는 원격 관리 도구 ‘메시에이전트’ 사용
악성코드에 감염된 시스템에서 자격 증명정보 탈취 및 키로깅, 클립보드 로깅 시도
[보안뉴스 박은주 기자] 최근 북한 해킹그룹 ‘안다리엘(Andariel)’이 국내 자산관리 솔루션을 악용해 국내 기업을 공격한 정황이 드러났다. 측면 이동 과정에서 악성코드를 유포하는 방식으로 안다르로더(AndarLoader), 모드로더(ModeLoader) 등의 악성코드를 유포했다.
[이미지=gettyimagesbank]
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 원격 관리 도구 ‘메시에이전트(MeshAgent)’를 설치했다는 점이 이번 공격의 특징이다. 메시에이전트는 원격 제어를 위한 다양한 기능을 제공하기 때문에 사이버 공격자가 자주 악용하는 도구로 알려져 있다.
원격 관리에 필요한 시스템의 기본 정보를 수집하고, 명령 실행, 전원 및 계정 제어 등 기능을 제공한다. 특히 RDP(Remote Desktop Protocol) 및 VNC(Virtual Network Computing)와 같은 원격 데스크톱을 웹 기반으로 지원한다. 원격에서 시스템을 관리하기 위한 기능이 악의적으로 오용되고 있는 것. 안다리엘은 외부에서 ‘fav.ico’라는 이름으로 메시에이전트를 설치했다.
공격에 사용되는 악성코드 : 안다르로더, 모드로더
안다리엘은 과거 이노릭스 에이전트(Innorix Agent) 프로그램을 악용하면서부터 측면 이동 과정에서 악성코드를 유포하기 위해 국내 업체의 자산관리 솔루션을 지속적으로 악용하는 것으로 밝혀졌다.
▲코이VM으로 난독화된 안다르로더[자료=ASEC]
‘안다르로더’는 백도어 악성코드로, 이노릭스 에이전트를 악용한 공격에서 확인된 ‘안다르도어(Andardoor)’와 유사하다. 다만, 작동방식에 차이를 보인다. 안다르로더는 다운로더 악성코드로 닷넷 어셈블리와 같이 실행할 수 있는 데이터를 명령제어(C&C) 서버에서 내려받아 메모리상에서 실행한다. 안다르도어는 대부분 백도어 기능이 바이너리에 구현돼 있으며, C&C 서버로부터 공격자의 명령을 받아 악성 행위를 수행하게 된다. 또한 안다르로더는 코이VM(KoiVM) 이라는 가상화 기술로 난독화됐다.
▲MeshAgent C&C 서버[자료=ASEC]
‘모드로더’는 안다리엘이 과거부터 지속적으로 사용해온 자바스크립트 악성코드다. Mshta 실행파일을 통해 외부에서 다운로드돼 실행되는 것으로 밝혀졌다. ASEC에 따르면 공격자는 주로 자산관리 솔루션을 악용해 모드로더를 다운로드하는 Mshta 명령을 실행한다. 이후 C&C 서버(modeRead.php)에 주기적으로 접속해 Base64로 암호화된 명령을 전달받아 명령을 실행한다. 그 결과를 다시 C&C 서버(modeWrite.php)에 전달하는 방식으로 작동한다.
▲C&C 서버로부터 전달받은 명령을 실행하는 모드로더[자료=ASEC]
공격자는 모드로더를 이용해 추가 악성코드를 설치했을 것으로 예상된다. ASEC는 위와 같은 명령을 통해 ‘SVPNClientW.exe’라는 이름으로 설치된 안다르로더 실행 이력을 확인했다.
한편, 안다르로더와 모드로더 등 백도어 악성코드를 통해 감염시스템 정보를 탈취한 공격자는 미미카츠(Mimikatz) 프로그램을 설치해 시스템의 자격증명 정보 탈취를 노렸다. 이때 미미카츠란 윈도우 운영체제 환경에서 자격증명 정보를 추출하는 프로그램이다.
▲공격에 사용된 키로거 악성코드[자료=ASEC]
이번에 확인된 대부분 공격 사례에서 키보드 입력을 탐지해 각종 정보를 탈취하는 키로거(Key Logger) 악성코드가 발견됐다. 이와 더불어 클립보드 로깅 기능도 보유하고 있는 것으로 드러났다.
이처럼 안다리엘은 북한의 김수키(Kimsuky), 라자루스(Lazarus) 그룹과 함께 국내를 대상으로 활발히 위협 활동을 전개하고 있다. 초기 안보 관련 정보를 획득한 것과 달리, 금전적 이득을 목적으로 한 공격도 발견되고 있다. 공격 초기에 각종 피싱과 워터링 홀 공격 및 소프트웨어 취약점을 노리고 있다. 또한 공격 과정에서 설치된 소프트웨어를 악용해 취약점을 악용하거나 취약점 공격을 통해 악성코드를 배포하고 있다.
이에 사용자는 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 내려받은 실행 파일을 특히 주의해야 한다. ASEC는 “악성코드 감염을 사전에 차단하기 위해 기업 보안담당자는 자산관리 솔루션의 모니터링을 강화하고, OS 및 인터넷 브라우저 등의 프로그램을 최신 버전으로 업데이트해야 한다”고 당부했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
