북한 3대 해킹 조직 중 하나로 알려진 안다리엘(Andariel)이 한국 기관, 업체들을 대상으로 APT(지능형 지속 위협) 공격을 한 사례가 확인됐다. 기존에 사용했던 악성코드 뿐 아니라 새로운 악성코드를 배포해 시스템을 제어하고, 데이터를 탈취한 것으로 드러났다.
11일 안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 안다리엘은 국내 제조업, 건설 업체 및 교육 기관을 대상으로 백도어, 키로거, 인포스틸러, 프록시 도구 등을 사용해 데이터를 탈취했다. 안다리엘이 과거 활용했던 악성코드 네스트도어(Nestdoor), 웹쉘과 더불어 북한의 또 다른 해커 그룹인 라자루스가 활용했던 프록시 도구가 함께 사용됐다. 아울러 도라(Dora)라는 새로운 변종 악성코드도 발견됐다.
네스트도어는 2022년 5월부터 확인된 RAT(원격 접근 트로이목마) 악성코드다. 사용자가 원하는 무언가로 변장해 시스템 방어망을 뚫고 들어가는 악성코드로, 정상 프로그램인줄 알고 실행시켰다가는 중요한 파일을 삭제하거나 자료를 유출시키는 등의 치명적인 문제를 일으킨다.
네스트도어는 공격자의 명령을 받아 감염 시스템을 제어할 수 있으며, 안다리엘 그룹의 공격 사례에서 지속적으로 발견되고 있다. 파일 업로드 또는 다운로드, 리버스 쉘(시스템의 취약점을 이용해 피해자의 컴퓨터에 접근한 뒤 공격자가 원격으로 액세스할 수 있도록 대상 시스템의 입력·출력을 연결하는 것), 명령 실행 등의 기능을 수행할 수 있다.
새롭게 발견된 악성코드 도라 RAT은 파일 다운로드, 업로드 기능 등을 지원하는 단순한 형태였다는 게 안랩의 설명이다. 도라는 단독 실행 파일로 동작하는 유형과 탐색기 프로세스에서 동작하는 유형 두 가지로 확인됐다. 안랩은 “최근 들어 안다리엘 그룹은 공격 캠페인마다 새로운 백도어 악성코드를 제작해 사용하고 있다”며 “공격자는 유효한 인증서로 악성코드를 서명하여 유포하기도 했다. 공격에 사용된 도라 RAT 중에는 영국 소프트웨어 개발 업체의 유효한 인증서로 서명돼 있는 유형들이 확인됐다”고 밝혔다.
공격자가 추가적으로 설치한 악성코드들 대부분은 프록시 도구들로 확인됐다. 눈에 띄는 점은 2021년 초 카스퍼스키사에서 공개한 스레드니들(ThreadNeedle)을 이용한 프록시 도구가 사용됐다는 점인데 라자루스 그룹의 공격 캠페인에서도 활용됐던 것이다. 동일한 파일은 아니지만 크기나 인증 과정에서 사용되는 문자열까지 동일한 악성코드였다. 이처럼 인증 문자열까지 동일한 프록시 유형은 2014년부터 지속적으로 공격에 사용되고 있다.
아울러 이번 공격의 특징 중 하나는 아파치 톰캣 서버를 운영 중인 웹 서버를 공격해 악성코드를 유포했다는 것이다. 공격당한 업체들은 2013년 제작된 아파치 톰캣이 동작 중이어서 다양한 취약점 공격이 가능했다는 것이 안랩의 설명이다.
안랩은 “안다리엘 그룹은 김수키, 라자루스 그룹과 함께 국내를 대상으로 활발히 활동하는 위협 그룹 중 하나”라며 “이들은 초기에는 안보 관련 정보를 획득하기 위해 공격을 수행했으나, 최근에는 금전적 이득을 목적으로 한 공격도 진행하고 있다”고 밝혔다.
그러면서 “사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹페이지에서 다운로드한 실행 파일을 주의해야 하며, 기업 보안 담당자는 소프트웨어의 최신 버전으로 패치를 수행해야 한다”며 “OS 및 인터넷 브라우저 등의 최신 패치 및 V3 업데이트를 통해 악성코드 감염을 사전에 차단하는 것이 중요하다”고 밝혔다.