ERP 솔루션으로 Xctdoor 백도어 감염... 北 해킹그룹 안다리엘 소행으로 추정
ERP 솔루션 업데이트 프로그램에 악성 루틴 삽입, 취약한 웹 서버를 공격
출처 불분명한 메일 첨부파일·내려받은 실행 파일 주의 및 프로그램 최신버전 유지
[보안뉴스 박은주 기자] 북한 해킹 그룹 안다리엘(Andariel)로 추정되는 공격자가 국내 ERP 솔루션(전사적자원관리)을 악용해 국내 방산 업체, 제조업 등을 공격한 정황이 드러났다. 국내 특정 ERP 솔루션 업데이트 서버를 공격하고, Xctdoor 악성코드를 통해 기업 내 시스템 장악을 시도한 것으로 보인다.
[이미지=gettyimagesbank]
안랩 시큐리티 인텔리전스 센터(ASEC)가 확인한 악성코드 중에는 기존 ERP 솔루션 업데이트 프로그램에 악성 루틴이 삽입된 형태가 존재한다. 이 방식은 2017년 안다리엘이 HotCroissan 백도어를 설치하기 위해 사용했던 사례와 유사했다. 악성코드를 개발 과정에서 Xct 문자열이 사용됐고, 최종 사용된 백도어를 ‘Xctdoor 악성코드’로 분류하고 있다.
과거 안다리엘이 HotCroissan 백도어를 활용한 공격 사례를 살펴보면 2017년 국내 ERP 솔루션을 악용해 악성코드를 유포했다. 공격자는 업데이트 프로그램인 ‘ClientUpdater.exe’에 악성 루틴을 삽입했다. 공격자가 특정 조직에 침투한 ERP 업데이트 서버를 공격해 내부 전파 목적으로 이를 악용한 것으로 추정된다. 업데이트 프로그램에 삽입된 루틴은 외부 추가 페이로드를 내려받아 실행하는 기능을 담당했다. 주소에서 내려받은 악성코드가 ‘HotCroissan’ 백도어다.
지난 5월 발생한 사례를 살펴보면 ‘Regsvr32.exe’ 프로세스를 이용해 특정 경로의 DLL을 실행하는 루틴이 삽입돼 있다. 과거 안다리엘 공격과 비교했을 때 단순하다는 차이가 있다. 자세한 설치 과정이 확인되지 않았으나, 확인된 DLL이 시스템 내 정보를 탈취하고 공격자 명령을 실행할 수 있는 악성코드임을 확인했다. ASEC는 “과거 안다리엘이 HotCroissan 백도어를 악용한 공격과 유사하게 특정 ERP 업데이트 서버가 공격당한 것으로 보인다”고 설명했다.
최종 설치된 DLL 악성코드는 공격자 개발 과정에서 사용한 ‘XctMain’과 같은 키워드를 기반으로 해 ‘Xctdoor 악성코드’로 분류한다. Xctdoor는 DLL 포맷으로 Go 언어로 개발됐다. Regsvr32.exe 프로세스를 통해 실행될 수 있도록 제작됐다는 특징이 있다.
Xctdoor 백도어는 C&C 서버에 사용자 이름, 컴퓨터 이름, 악성코드의 PID 등과 같은 기본적인 정보를 전송하고 명령을 전달받아 실행할 수 있는 악성 행위를 이어간다. 이 밖에도 스크린샷 캡쳐, 키로깅, 클립보드 로깅, 드라이브 정보를 전송하는 정보 탈취가 이뤄질 수 있다.
▲XcLoader 코드 일부[자료=ASEC]
더불어 2024년 3월 취약한 웹 서버를 공격해 XcLoader를 설치하는 사례가 확인됐다. Xcdoor를 정상 프로세스에 인젝션하는 기능을 담당하는 인젝터 악성코드이다. 공격 대상이 2013년 개발된 8.5 버전 윈도우 IIS 웹 서버인 것으로 확인됐다. 부적절한 설정이나 취약점 공격을 통해 악성코드를 유포한 것으로 보인다.
IIS 서버에서 실행된 명령을 보면 악성코드 설치 외에도 시스템의 정보를 조회하는 등의 행위가 확인됐다. 웹 서버에 웹쉘을 설치하고, 명령을 실행하는 공격 사례와 유사하며 해당 시스템 또한 웹쉘이 설치되어 있을 것으로 추정된다. ASEC는 해당 공격으로 웹 서버가 장악됐다고 설명했다.
한편, 공격이 발생한 시스템 중 하나에서는 ‘Ngrok’ 로그가 확인되기도 했다. Ngrok은 터널링 프로그램으로 NAT 환경 내부 시스템에 외부에서 접속할 수 있게 노출하는 도구다. 일반적으로 공격자가 감염 시스템에 RDP로 접속해 원격 제어를 하기 위해 설치하는 경우가 많으며 북한 해킹 그룹 김수키(Kimsuky) 그룹 공격 사례에서 자주 발견된다.
악성코드 감염을 예방하기 위해서는 출처가 불분명한 메일 첨부파일을 열람하거나 웹 페이지에서 내려받은 파일을 실행할 때는 각별한 주의가 요구된다. 특히 기업 보안 담당자는 ERP 프로그램 모니터링을 강화하고 프로그램은 최신 버전을 유지해 취약점을 보완하는 것이 안전하다. ERP 프로그램뿐만 아니라 OS 및 인터넷 브라우저 등을 최신 버전으로 유지하고 백신 등을 이용해 악성코드 감염을 사전에 차단할 수 있도록 주의를 기울여야 한다.
[박은주 기자(boan5@boannews.com)]
ERP 솔루션 업데이트 프로그램에 악성 루틴 삽입, 취약한 웹 서버를 공격
출처 불분명한 메일 첨부파일·내려받은 실행 파일 주의 및 프로그램 최신버전 유지
[보안뉴스 박은주 기자] 북한 해킹 그룹 안다리엘(Andariel)로 추정되는 공격자가 국내 ERP 솔루션(전사적자원관리)을 악용해 국내 방산 업체, 제조업 등을 공격한 정황이 드러났다. 국내 특정 ERP 솔루션 업데이트 서버를 공격하고, Xctdoor 악성코드를 통해 기업 내 시스템 장악을 시도한 것으로 보인다.
[이미지=gettyimagesbank]
안랩 시큐리티 인텔리전스 센터(ASEC)가 확인한 악성코드 중에는 기존 ERP 솔루션 업데이트 프로그램에 악성 루틴이 삽입된 형태가 존재한다. 이 방식은 2017년 안다리엘이 HotCroissan 백도어를 설치하기 위해 사용했던 사례와 유사했다. 악성코드를 개발 과정에서 Xct 문자열이 사용됐고, 최종 사용된 백도어를 ‘Xctdoor 악성코드’로 분류하고 있다.
과거 안다리엘이 HotCroissan 백도어를 활용한 공격 사례를 살펴보면 2017년 국내 ERP 솔루션을 악용해 악성코드를 유포했다. 공격자는 업데이트 프로그램인 ‘ClientUpdater.exe’에 악성 루틴을 삽입했다. 공격자가 특정 조직에 침투한 ERP 업데이트 서버를 공격해 내부 전파 목적으로 이를 악용한 것으로 추정된다. 업데이트 프로그램에 삽입된 루틴은 외부 추가 페이로드를 내려받아 실행하는 기능을 담당했다. 주소에서 내려받은 악성코드가 ‘HotCroissan’ 백도어다.
지난 5월 발생한 사례를 살펴보면 ‘Regsvr32.exe’ 프로세스를 이용해 특정 경로의 DLL을 실행하는 루틴이 삽입돼 있다. 과거 안다리엘 공격과 비교했을 때 단순하다는 차이가 있다. 자세한 설치 과정이 확인되지 않았으나, 확인된 DLL이 시스템 내 정보를 탈취하고 공격자 명령을 실행할 수 있는 악성코드임을 확인했다. ASEC는 “과거 안다리엘이 HotCroissan 백도어를 악용한 공격과 유사하게 특정 ERP 업데이트 서버가 공격당한 것으로 보인다”고 설명했다.
최종 설치된 DLL 악성코드는 공격자 개발 과정에서 사용한 ‘XctMain’과 같은 키워드를 기반으로 해 ‘Xctdoor 악성코드’로 분류한다. Xctdoor는 DLL 포맷으로 Go 언어로 개발됐다. Regsvr32.exe 프로세스를 통해 실행될 수 있도록 제작됐다는 특징이 있다.
Xctdoor 백도어는 C&C 서버에 사용자 이름, 컴퓨터 이름, 악성코드의 PID 등과 같은 기본적인 정보를 전송하고 명령을 전달받아 실행할 수 있는 악성 행위를 이어간다. 이 밖에도 스크린샷 캡쳐, 키로깅, 클립보드 로깅, 드라이브 정보를 전송하는 정보 탈취가 이뤄질 수 있다.
▲XcLoader 코드 일부[자료=ASEC]
더불어 2024년 3월 취약한 웹 서버를 공격해 XcLoader를 설치하는 사례가 확인됐다. Xcdoor를 정상 프로세스에 인젝션하는 기능을 담당하는 인젝터 악성코드이다. 공격 대상이 2013년 개발된 8.5 버전 윈도우 IIS 웹 서버인 것으로 확인됐다. 부적절한 설정이나 취약점 공격을 통해 악성코드를 유포한 것으로 보인다.
IIS 서버에서 실행된 명령을 보면 악성코드 설치 외에도 시스템의 정보를 조회하는 등의 행위가 확인됐다. 웹 서버에 웹쉘을 설치하고, 명령을 실행하는 공격 사례와 유사하며 해당 시스템 또한 웹쉘이 설치되어 있을 것으로 추정된다. ASEC는 해당 공격으로 웹 서버가 장악됐다고 설명했다.
한편, 공격이 발생한 시스템 중 하나에서는 ‘Ngrok’ 로그가 확인되기도 했다. Ngrok은 터널링 프로그램으로 NAT 환경 내부 시스템에 외부에서 접속할 수 있게 노출하는 도구다. 일반적으로 공격자가 감염 시스템에 RDP로 접속해 원격 제어를 하기 위해 설치하는 경우가 많으며 북한 해킹 그룹 김수키(Kimsuky) 그룹 공격 사례에서 자주 발견된다.
악성코드 감염을 예방하기 위해서는 출처가 불분명한 메일 첨부파일을 열람하거나 웹 페이지에서 내려받은 파일을 실행할 때는 각별한 주의가 요구된다. 특히 기업 보안 담당자는 ERP 프로그램 모니터링을 강화하고 프로그램은 최신 버전을 유지해 취약점을 보완하는 것이 안전하다. ERP 프로그램뿐만 아니라 OS 및 인터넷 브라우저 등을 최신 버전으로 유지하고 백신 등을 이용해 악성코드 감염을 사전에 차단할 수 있도록 주의를 기울여야 한다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
