2024-03-29 14:05 (금)
한국 기업 대상 랜섬웨어 유포 시도한 북한 해킹그룹의 공격 사례 발견
상태바
한국 기업 대상 랜섬웨어 유포 시도한 북한 해킹그룹의 공격 사례 발견
  • 길민권 기자
  • 승인 2021.06.16 11:31
이 기사를 공유합니다

라자루스 하위 그룹인 안다리엘 조직, 금전 목적으로 한국 기업들 공격
안다리엘 조직의 한국 기업 공격 타깃 유형(출처=카스퍼스키)
안다리엘 조직의 한국 기업 공격 타깃 유형(출처=카스퍼스키)

2021년 초 새로운 유형의 악성 워드파일이 발견됐다. 처음에는 이 파일이 북한 라자루스(Lazarus) APT 해킹공격 조직의 것으로 추측되었으나 카스퍼스키 글로벌 위협 정보 분석 팀(GReAT)의 추가 분석 결과 파일의 코드와 실행 방법에서 확인된 몇몇 정보를 바탕으로 실제 배후는 라자루스 그룹의 하위 조직인 ‘안다리엘(Andariel)’이 사용하는 것으로 밝혀졌다.

카스퍼스키는 이전 공격에서 안다리엘이 주로 사용한 윈도우 명령을 실행하는 방식 및 이 공격에 사용된 복호화 루틴에 기초해 공격의 근원을 안다리엘로 제시하고 있다.

안다리엘은 정부의 지원을 받는 사이버 위협 조직으로, 한국 금융보안원에서 라자루스의 하위 조직으로 최초 분류 했었다.

이들은 금전적 이득과 사이버 스파이 활동에 중점을 두고 주로 한국의 기관을 공격한다. 2017년부터 안다리엘 조직은 공격의 방향을 전환해 한국의 ATM을 해킹하는 등 금전적 이득을 위한 금융기관 공격에 집중하는 양상을 보였다.

APAC 지역 카스퍼스키 GReAT의 박성수 선임 보안 연구원은 "안다리엘과 같은 APT그룹의 공격이 주로 사이버 첩보 활동을 위한 공격이지만, 이번 사례에서 볼 수 있듯이 어떤 기업이든 공격 대상이 될 수 있다”며 “사이버 공격에 대해 경계 태세를 갖추고 가장 취약한 부분인 사용자, 즉 직원의 실수나 방심으로 인한 사이버 보안 침해를 예방해야 한다"고 당부했다.

◇랜섬웨어, 워드 문서에 숨겨진 악성코드

카스퍼스키 GReAT는 바이러스토탈에서 앞서 언급한 의심스러운 워드 문서를 발견했다. 문서 제목은 ’참가신청서양식.doc’로 특정 행사 관련 양식을 사용하고 있었으며, 이 문서는 2021년 4월에 발견되었지만 공격의 최종 페이로드로 사용된 악성코드는 2020년 중반부터 안다리엘이 지속적으로 사용했다.

워드문서의 악성 매크로가 실행되면 3단계 페이로드 중 첫 번째인 단계가 실행된다. 즉 사용자를 속이기 위한 문서(디코이 문서)가 표시되는 동안 악성 매크로가 백그라운드에서 실행되는 것이다. 첫 단계에서 실행된 매크로는 숨겨진 HTA(HTML Application) 파일을 실행하는 역할을 하며, 이 파일에 2단계 페이로드가 포함되어 있다. 이 페이로드는 원격 명령 서버와 통신하여 3단계 페이로드를. 다운로드 및 실행하게 된다.

2단계 및 3단계 페이로드는 인터넷 브라우져 아이콘 및 파일명을 사용하여 정상적인 브라우저로 위장하였다. 3단계 페이로드가 실행되면 현재 시스템이 샌드박스 환경인지 여부를 파악한 뒤 명령 서버와 통신하게 된다. 공격자의 명령에 따라 윈도우 명령 실행, 특정 IP 주소 접속, 파일 목록 작성 및 조작, 스크린샷 등의 기능을 수행한다.

전체 공격 과정을 분석하는 중, 한국의 피해 기업 중 하나에서 마지막 페이로드인 백도어를 이용해 알려지지 않은 랜섬웨어를 실행하는 것이 확인되었다. 이 랜섬웨어는 커맨드라인을 이용해 인자를 전달받게 제작되어 있으며, 특정 기준이 충족되면AES-128 CBC 알고리즘을 사용하여 파일을 암호화한다. 랜섬웨어 의한 암호화 과정 중 시스템의 핵심 파일은 제외되며, 바탕화면 및 시작 폴더에 비트코인으로 대가를 지불하라는 랜섬노트를 남기기게 된다.

안다리엘은 워드문서 뿐만 아니라 PDF 파일로 가장한 다른 감염 방법도 활용하였다. 전체 파일을 분석할 수 없었지만 한국 기업이 만든 exPDFReader 프로그램을 이용해 같은 종류의 악성코드 유포를 시도한 것을 확인했다. 이 악성 코드의 감염 경로는 명확하지 않으나 소프트웨어 취약점을 악용했거나 정상적인 파일을 가장하여 사용자가 파일을 열도록 속인 것으로 추정된다.

안다리엘과 유사한 공격을 방지하기 위해 카스퍼스키는 다음과 같은 조치를 취할 것을 권고하고 있다.

△조직 내 모든 직원이 기본적인 사이버 보안 교육을 받고, 잠재적인 피싱 및 사회공학 기법을 비롯하여 Andariel 공격에 사용된 것과 같이 의심스러운 파일에 대한 인식과 경계심을 계속 유지할 수 있도록 정기적으로 재교육을 받도록 한다.

△조직 전체에 사이버 보안 정책을 철저히 강조하고 적용한다.

△최신 위협 인텔리전스로 보안 운영 센터(SOC) 팀의 역량을 강화한다. Kaspersky Threat Intelligence 보고 서비스와 같은 종합 솔루션을 활용할 수 있다. 이 서비스는 지속적으로 업데이트되고 심층적인 인텔리전스 데이터를 제공하여 SOC 팀이 사이버 위협 조직보다 앞서나갈 수 있도록 지원한다.

△금융 기관은 일반적인 공격 및 표적형 공격 모두를 방어할 수 있는 다계층 보안 솔루션이 필요하다. Kaspersky Finance Services Cybersecurity 서비스에는 위험을 완화하고 조기에 공격을 탐지하며 진행 중인 공격을 처리할 뿐만 아니라 미래의 공격까지 대비하여 보안을 강화하는 업계별 맞춤 보안 솔루션으로 20여년에 걸쳐 사이버 보안 일선에서 활약한 카스퍼스키의 경험과 노하우가 담겨있다.


◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)

-개최일: 2021년 7월 6일(화)

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명

-보안교육이수: 7시간 인정

-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★