2024-03-19 11:57 (화)
[긴급] '안다리엘' 해킹조직, 한국 DRM 등 SW취약점 악용해 국내 기관 정찰활동 시작
상태바
[긴급] '안다리엘' 해킹조직, 한국 DRM 등 SW취약점 악용해 국내 기관 정찰활동 시작
  • 길민권 기자
  • 승인 2018.07.18 13:40
이 기사를 공유합니다

최근 라자루스 해킹 그룹 하부조직 '안다리엘'...정부기관과 기업 타깃 공격...주의

▲ 워터링 홀 정찰 플로우. 트렌드마이크로 제공.
▲ 워터링 홀 정찰 플로우. 트렌드마이크로 제공.
최근 정찰 활동을 시작한 북한 후원 추정 라자루스(Lazarus) 해킹 그룹의 하부조직인 '안다리엘(Andariel)' 해커조직이 한국을 타깃으로 하는 새로운 공격 기법을 사용해 첩보 활동을 하고 있는 정황이 포착됐다. 정부기관과 주요 기업들의 각별한 주의가 요구된다.

트렌드마이크로에 따르면, 새롭게 주입된 스크립트의 코드가 지난 5월 한국의 몇몇 웹사이트에 “GoldenAxe 작전”으로 명명된 워터링 홀 공격 (Watering Hole Attack)을 위해 액티브X에 제로데이 익스플로잇 공격을 가한 것을 확인했다고 밝혔다. 그러나 더 최근인 6월 21일 안다리엘(Andariel)이 정찰을 목적으로 총 4개의 각기 다른 한국 웹사이트를 변조해 스크립트를 주입한 것이 발견되었다고 덧붙였다.

새롭게 주입된 스크립트 코드가 지난 5월 안다리엘이 사용한 것과 유사하다는 것을 발견한 것이다. 그러나 새로운 스크립트는 이전에 공격했던 것과는 다른 ActiveX 정보를 수집하려고 했던 것으로 드러났다.

이전 공격의 경우, 안다리엘 그룹은 제로데이 익스플로잇 공격을 사용하기 전에 사용자의 인터넷 익스플로러 브라우저에서 대상이 되는 액티브X의 정보를 수집했다. 이는 안다리엘 그룹이 그들의 목적에 맞는 적합한 공격대상을 찾기 위한 정찰 전략의 일부로 판단된다.

이를 근거로 트렌드마이크로가 발견한 새로운 표적 액티브X가 워터링 홀 공격의 다음 대상이 될 가능성이 높다. 이러한 공격을 사전에 방지하고 피해를 예방하기 위해 트렌드마이크로는 안다리엘 그룹이 본격적인 공격을 시도하기 전 연구결과를 발표하기로 결정했다고 밝혔다.

◇안다리엘(Andariel) 기술 분석

다음은 이번 안다리엘 정찰작업에 대한 트렌드마이크로와 이슈메이커스랩의 분석내용이다.

지난 6월 21일 한국의 한 비영리 단체의 웹사이트가 변조되어 스크립트가 주입되었고 이로 인해 방문자들의 정보가 수집되고 있다는 것이 발견되었다. 또한 한국의 또 다른 3개의 지방 정부 노조 웹사이트에서 같은 스크립트가 발견되었다. 스크립트를 통한 정찰 활동은 6월 27일까지 계속되었으며, 트렌드마이크로는 해당 웹사이트들에 이러한 사실을 공지했다.

해당 공격에 사용된 코드가 이전의 안다리엘 그룹이 사용한 코드의 샘플과 유사한 난독화와 구조를 가지고 있어 최근 스크립트 주입의 행위 또한 안다리엘 그룹의 소행이라고 추정한다. 이 스크립트는 방문자의 브라우저 유형, 시스템 언어, 어도비 플래시 플레이어 버전, 실버라이트(Silverlight) 버전 및 여러 액티브X 등의 정보를 수집하는데 사용되었다.

▲ 정보를 수집하는 악성 스크립트가 주입되어 손상된 웹사이트. 트렌드마이크로 제공.
▲ 정보를 수집하는 악성 스크립트가 주입되어 손상된 웹사이트. 트렌드마이크로 제공.
또한 원본 스크립트는 PluginDetect Library에서 가져온 것이며 익스플로잇 키트를 이용해 본격적으로 공격하기 전 사용자를 확인하는 데에도 사용되었다. 사용자 확인 프로세스에는 수집된 정보를 PHP프로그램을 호스팅하고 정보를 수신하도록 설계된 다른 웹사이트로 보내는 작업이 포함된다.

북한 해킹 그룹을 주로 연구하고 있는 이슈메이커스랩(IssueMakersLab)팀은 2007년부터 현재까지의 액티브X 취약점 공격을 포함한 안다리엘 그룹의 정보를 트렌드마이크로와 공유했다고 한다.

이슈메이커스랩팀은 안다리엘 그룹이 지난 2017년 1월 한국의 싱크탱크 웹사이트에 정찰 활동을 위한 악성 스크립트를 주입한 것과 4월 중순 이를 액티브X 제로데이 익스플로잇 공격의 형태로 전환한 것을 발견했다. 이슈메이커스랩은 또한 안다리엘 그룹이 공격한 액티브X의 리스트를 공개했다.

분석이 진행되는 동안에도 새로 주입된 스크립트가 이전 목록에 없던 두 개의 추가 액티브X를 감지하기 위한 시도를 한 것이 발견되었다.

하나는 “DSDOWNCTRL.DSDownCtrlCtrl.1”이며, 이는 한국의 문서 보안 벤더 S사가 배포하는 DRM 소프트웨어와 관련되어 있다.

또 다른 하나는 한국의 음성 변환 소프트웨어 업체와 관련된 “WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1”이며, 많은 한국의 지방 자치 단체와 공공 기관이 해당 소프트웨어를 사용하고 있어 위험한 상황이다.

아래는 스크립트가 이전에 수집한 정보와 최근 사례를 비교하기 위한 표다.

▲ 이전 스크립트와 새로운 스크립트가 수집한 정보 비교 표
▲ 이전 스크립트와 새로운 스크립트가 수집한 정보 비교 표
액티브X 외에도 스크립트는 새로운 코드를 추가하여 웹소캣을 로컬호스트로 연결했다. 음성 변환 소프트웨어는 로컬호스트에서 수신하는 웹소캣 서비스를 통해, 소프트웨어가 사용하는 45461 혹은 45462 포트에 연결될 수 있는지를 감지하는 스크립트가 주입되어 있다.

또한 이전 스크립트의 확인 프로세스는 인터넷익스플로러 브라우저에서만 액티브X를 탐지했었다. 하지만 6월에 발견된 스크립트에서는 크롬 및 파이어폭스와 같은 다른 브라우저에서도 웹소캣 확인을 수행할 수 있는 것으로 확인됐다. 이는 공격자가 대상 기반을 확장하고 액티브X 모듈 뿐 아니라 소프트웨어 자체에도 관심이 있음을 보여주며, 이러한 변화에 따라 액티브X 이외의 공격 벡터를 사용할 수 있다는 것을 보여준다.

트렌드마이크로 관계자는 "정찰 활동은 공격자가 어떤 전술이 효과가 있을지 결정하는데 도움을 주기 위해 잠재적 목표물로부터 정보를 수집하는 단계다. 따라서 이러한 안다리엘 그룹의 새로운 활동을 보았을 때, 그들의 다음 공격 행보를 어느 정도 예측해 볼 수 있다"고 전했다.

이슈메이커스랩의 테일러 김(Taylor Kim) 연구원은 “그간 밝혀진 액티브X 모듈뿐만 아니라 소프트웨어 자체의 새로운 취약점을 대상으로 공격을 시도하고 있어서, 국내 기관의 웹사이트에 적용된 소프트웨어 개발업체들은 꾸준한 보안 취약점 점검을 통해 해킹 사고 위험을 미연에 방어할 필요가 있다”고 밝혔다.

장성민 트렌드마이크로 침해대응 센터장은 “한국에서 개발된 국내용 소프트웨어의 경우 글로벌 사용자가 없기 때문에 이를 집중적으로 노린 북한 등 해외 해커에 의해서 취약점이 발견될 수 있다”며 “취약점이 곧 활용되어질 것으로 예측될 경우, 해당 개발사들의 신속한 제로데이 패치가 요구된다”고 강조했다.

한편 데일리시큐는 오는 9월 10일 월요일 올해로 5회째 개최하는 국내 최고 퀄리티의 정보보안 인텔리전스 컨퍼런스 K-ISI 2018을 개최한다고 밝혔다.

로비에서는 사이버위협 대응 및 침해사고 대응, 정보보안 인텔리전스 전문 국내외 정보보안 기업들의 전시회도 열릴 예정이다. K-ISI 2018 발표와 전시회 참가를 희망하는 기업은 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 문의하면 된다.

사전등록자는 참석대상을 선별해 300명으로 제한하며 참석이 확정된 등록자에게는 최종 참석확정 문자를 보낸다. 참석자 200명에게는 선착순으로 점심식사권을 제공하며 주차는 지원하지 않는다. 발표자료는 행사 종료후 등록사이트에서 다운로드 가능하다. 참석을 희망하는 보안실무자는 아래 등록링크를 통해 사전등록 가능하다.

-K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★