해커그룹 안다리엘, 액티브X 취약점 악용 국내 지속 공격

안다리엘 공격그룹, 2015년부터 국내 지속 공격...지난 4월 액티브X 취약점 이용 공격
중앙관리 솔루션의 관리 서버 보안정책 중요...내부 인프라 이벤트 모니터링해야

[보안뉴스 김경애 기자] 라자루스(Lazarus)의 하위 그룹으로 2015년부터 활동이 확인된 안다리엘(Andariel) 그룹이 지속적으로 국내를 공격한 정황이 포착됐다. 해당 그룹은 지난 4월에도 액티브X 취약점을 이용한 공격이 탐지된 바 있어 기업에서도 각별한 주의가 필요하다.

[표=안랩]

안랩 시큐리티대응센터(ASEC) 분석연구팀이 발표한 ‘Andariel Group 동향 보고서’에 따르면 “이 그룹은 2014년부터 2015년 발생한 오퍼레이션 블랙 마인(Operation Black Mine)과도 연관되며, 오퍼레이션 블랙 마인은 2008년 군, 2013년 3.20 전산망 장애(DarkSeoul)와 관련 있다”고 밝혔다.

이 그룹의 주 공격대상은 군사기관 및 방위산업체, 정치기구, 보안업체, ICT 업체, 에너지연구소 뿐만 아니라 ATM, 금융사, 여행사, 온라인 도박 게임 이용자, 가상화폐 거래소 이용자 등 금전적 이득을 얻을 수 있는 타깃까지 다양하다.

[이미지=안랩]

주요 공격 방법은 매크로(Macro)를 이용한 △스피어피싱(Spear Phishing) △액티브X(Active-X) 취약점을 이용한 워터링홀 △보안 및 IT 자산 관리 시스템 취약점 공격(중앙 관리 솔루션) △공급망 공격 등이다. 이들은 Aryan, Ghostrat 등 알려진 외부 백도어뿐만 아니라 Andarat, Andaratm, Rifdoor, Phandoor 등 자체 개발한 백도어도 사용하고 있는 것으로 분석됐다. 또한, 공격자는 통신을 위한 Putty Link, 포트 스캐너 등의 다양한 도구를 사용하고 있다.

1. 스피어피싱(Spear Phishing)
스피어피싱 공격의 경우 메일 수신자가 매크로 기능을 활성화하도록 유도한다.

[이미지=안랩]

특히, 2017년 이후 발견된 문서는 이상이 있는 것처럼 흐릿하게 위장해 매크로 활성화를 유도하는 등 갈수록 교묘하게 진화하고 있다.

2. 워터링홀(ActiveX 취약점)
안다리엘 그룹은 주로 액티브X 취약점 공격 코드를 웹사이트에 숨겨두고 사용자가 특정한 액티브X가 설치된 인터넷 익스플로러 웹브라우저를 통해 해당 웹사이트에 접속하면 취약점 공격이 진행되는 방식을 이용하고 있다.

[이미지=안랩]

취약점 공격에 성공하면 웹브라우저로 접속한 시스템에 자바 스크립트나 VB 스크립트 파일이 생성되며, 이를 통해 특정 주소에서 악성코드를 다운로드한다.

3. 중앙관리 솔루션
공격자는 공격 대상인 기관 또는 기업에서 사용하는 중앙관리 솔루션을 파악한 후 이를 분석하여 취약점을 찾아 공격에 이용한다.

[이미지=안랩]

중앙관리 솔루션 공격은 크게 관리 서버 계정을 이용한 공격과 클라이언트 에이전트 취약점을 이용한 공격으로 구분할 수 있다.

4. 공급망(Supply Chain) 공격
안다리엘 그룹은 다양한 공급망을 이용한 공격을 시도했다. 소프트웨어 설치판에 악성코드를 포함시켜 해당 소프트웨어의 공식사이트를 통해 배포하는 방식과 소프트웨어 업데이트 과정을 통해 악성코드를 감염시키는 방식을 주로 이용했다. 일부 공격 사례에서는 해당 소프트웨어를 사용하는 모든 사용자를 감염시키는 것이 아니라 접속하는 IP 주소를 확인해 원하는 시스템만 감염시키는 방식을 사용했다. 이 밖에도 특정 산업 분야에서 사용되는 시스템과 관련된 소프트웨어의 취약점을 이용한 공격을 진행했다.

안다리엘은 2017년 5월부터 7월까지는 금융권을, 10월에는 국내 여행사를 해킹해 개인정보가 유출됐다. 12월부터는 가상화폐 거래소 사용자를, 2018년 1월에는 악성코드가 포함된 원격 지원 프로그램을 배포했으며, 2월에는 국회의원실을 사칭한 이메일 공격을 시도하는 등 다양한 공격 양상을 보였다. 특히, 국회의원실 사칭한 메일이 다운로드하는 악성코드는 2017년 ATM 해킹에 사용된 악성코드의 변형으로, 또 다른 변형이 6월 금융권 공격에도 사용됐다.

같은 해 12월에는 또 다른 여행사 해킹이 확인됐다. 2017년 12월, 안다리엘 그룹은 A사의 ERP 솔루션 업데이트 파일을 변조해 악성코드가 다운로드되도록 했다. 당시 해당 ERP 솔루션을 사용하는 모든 업체가 아니라 특정한 공격 대상인 기업에만 악성코드가 다운로드 됐다.

안랩의 상세 분석 결과, 안다리엘 그룹과 오퍼레이션 블랙 마인의 공격 방식 등이 비슷하며, 특히 zcon.exe 파일을 공통적으로 사용했음이 확인됐다. 유사한 악성코드로 다양한 목표를 공격했으며, 일부 악성코드는 동일한 C2를 사용했다.

이와 관련 안랩 측은 “안다리엘 그룹은 한국에서 활동하고 있는 위협 그룹 중 가장 왕성히 활동하고 있는 그룹”이라며 “초반에는 주로 군사와 관련된 정보를 획득하기 위해 공격을 전개했지만 2016년 말부터 금전적 이득을 위해서도 공격을 진행하고 있다. 소프트웨어 취약점을 이용한 공격이 빈번하고, 기업 및 기관의 중앙관리 솔루션은 언제든 공격의 경로가 될 수 있다. 이러한 공격은 조직 전반에 걸쳐 막대한 피해를 야기할 수 있어 더욱 각별한 보안 관리가 요구된다”고 당부했다.

이에 따라 기업은 중앙관리 솔루션의 관리 서버에 대한 보안정책 강화하는 것이 중요하다. 정해진 시스템에서만 관리 서버 접근이 가능하도록 제한하는 것은 물론, 관리 서버의 로그인 정보(관리자 계정)를 자주 변경하고 시스템에 저장하지 않는 등의 기본적인 보안정책이 지켜질 수 있도록 적절한 관리가 필요하다. 또한, 주기적인 로그 확인을 통해 비정상적인 파일이 관리 서버를 통해 배포되지 않았는지 확인해야 한다. 특히, 관리 서버를 통하지 않고 클라이언트에 설치된 에이전트 취약점을 이용하는 공격 사례도 발견됐기 때문에 중앙관리 솔루션이 사용하는 포트 번호에 대한 스캐닝 등이 발생하지 않는지 모니터링이 필요하다.

이에 대해 안랩 측은 “공격자는 다양한 방법으로 기업 및 기관 내부로의 침투를 시도하고 있다. 대부분 외부와의 접점에 대한 보안에 집중하기 쉬우나 중앙관리 솔루션 이용 공격과 같이 내부 인프라에서 발생하는 이벤트에 대한 모니터링 또한 간과해서는 안 된다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)