새로운 안다리엘(Andariel) 정찰 기술로 예측하는 다음 타깃

게시일: 2018-07-17 l 작성자: Trend Micro (By Joseph C Chen)

In cooperation with IssueMakersLab of South Korea

정찰은 범죄 활동에 중요한 역할을 하며, 일부 단체들은 목표물의 시스템을 조사하기 위해 많은 노력을 기울입니다. 최근에 정찰 활동을 시작한 악명 높은 Lazarus 그룹의 하부조직인 안다리엘(Andariel) 도 그 중 하나입니다. 우리는 한국을 주 타깃으로 하는 안다리엘 (Andariel)의 새로운 정찰 기법을 포착하였습니다.

트렌드마이크로는 새롭게 주입된 스크립트의 코드가 지난 5월 한국의 몇몇 웹사이트에 “GoldenAxe 작전”으로 명명된 워터링 홀 공격 (Watering Hole Attack)을 위해 ActiveX에 제로데이 익스플로잇 공격을 가한 것을 확인하였습니다. 그러나 더 최근인 6월 21일 안다리엘 (Andariel)이 정찰을 목적으로 총 4개의 각기 다른 한국 웹사이트를 변조하여 스크립트를 주입한 것이 발견되었습니다.

트렌드마이크로는 새롭게 주입된 스크립트의 코드가 지난 5월 안다리엘(Andariel)이 사용한 것과 유사하다는 것을 발견하였습니다. 그러나 새로운 스크립트는 이전에 공격했던 것과는 다른 ActiveX의 정보를 수집하려고 했습니다.

이전 공격의 경우, 안다리엘(Andariel) 그룹은 제로데이 익스플로잇 공격을 사용하기 전에 사용자의 인터넷익스플로러 브라우저에서 대상이 되는 ActiveX의 정보를 수집하였습니다. 이는 안다리엘 (Andariel) 그룹이 그들의 목적에 맞는 적합한 공격대상을 찾기 위한 정찰 전략의 일부로 판단됩니다. 이를 근거로 트렌드마이크로가 발견한 새로운 표적 ActiveX가 워터링 홀 공격의 다음 대상이 될 가능성이 높다고 여겨집니다. 이러한 공격을 사전에 방지하고 피해를 예방하기 위해 트렌드마이크로는 안다리엘(Andariel) 그룹이 본격적인 공격을 시도하기 전 연구결과를 발표하기로 결정하였습니다.


그림 1. 워터링 홀 정찰 플로우


안다리엘 (Andariel) 기술 분석

지난 6월 21일 한국의 한 비영리 단체의 웹사이트가 변조되어 스크립트가 주입되었고 이로 인해 방문자들의 정보가 수집되고 있다는 것이 발견되었습니다. 또한 한국의 또 다른 3개의 지방 정부 노조 웹사이트에서 같은 스크립트가 발견되었습니다. 스크립트를 통한 정찰 활동은 6월 27일까지 계속되었으며, 트렌드마이크로는 해당 웹사이트들에 이러한 사실을 공지하였습니다.

해당 공격에 사용된 코드가 이전의 안다리엘(Andariel) 그룹이 사용한 코드의 샘플과 유사한 난독화와 구조를 가지고 있으므로 최근 스크립트 주입의 행위 또한 안다리엘(Andariel) 그룹의 소행이라고 추정됩니다. 이 스크립트는 방문자의 브라우저 유형, 시스템 언어, FlashPlayer 버전, Silverlight 버전 및 여러 ActiveX 등의 정보를 수집하는데 사용되었습니다.


또한 원본 스크립트는 PluginDetect Library에서 가져온것이며 익스플로잇 키트를 이용하여 본격적으로 공격 하기 전 사용자를 확인하는 데에도 사용되었습니다. 사용자 확인 프로세스에는 수집된 정보를 PHP프로그램을 호스팅하고 정보를 수신하도록 설계된 다른 웹사이트로 보내는 작업이 포함됩니다.



그림 2. 정보를 수집하는 악성 스크립트가 주입되어 손상된 웹사이트


이슈메이커스랩(IssueMakersLab)팀은 2007년부터 현재까지의 ActiveX 취약점 공격을 포함한 안다리엘(Andariel) 그룹의 정보를 트렌드마이크로와 공유하였습니다. 이슈메이커스랩(IssueMakersLab)팀은 안다리엘(Andariel) 그룹이 지난 2017년 1월 한국의 싱크탱크 웹사이트에 정찰 활동을 위한 악성 스크립트를 주입한 것과 4월 중순 이를 ActiveX 제로데이 익스플로잇 공격의 형태로 전환한 것을 발견하였습니다. 이슈메이커스랩(IssueMakersLab)은 또한 안다리엘(Andariel) 그룹이 공격한 ActiveX의 리스트를 공개하였습니다.

분석이 진행되는 동안에도 새로 주입된 스크립트가 이전 목록에 없던 두 개의 추가 ActiveX를 감지하기 위한 시도를 한 것이 발견되었습니다. 하나는 “DSDOWNCTRL.DSDownCtrlCtrl.1” 이며, 이는 한국의 문서 보안 벤더가 배포하는 DRM (Digital Rights Management) 소프트웨어와 관련되어있습니다. 또 다른 하나는 한국의 음성 변환 소프트웨어 업체와 관련된 “WSACTIVEBRIDGEAX.WSActiveBridgeAXCtrl.1” 이며, 많은 한국의 지방 자치 단체와 공공 기관이 해당 소프트웨어를 사용하고 있습니다.

아래는 스크립트가 이전에 수집한 정보와 최근 사례를 비교하기 위한 표입니다.


Collected Information from Old Script Sample (May 2018) Collected Information from New Script Sample (June 2018)
Parameter Meaning Parameter Meaning
w Website name W Website name
r value R value
o OS version O OS version
lv HTTP Accept-Language Lv HTTP Accept-Language
bt Browser Information BT Browser Information
bv Browser Information BV Browser Information
bdv Browser Information Bdv Browser Information
fv Flash Version fv Flash Version
silv EasyPayPlugin ActiveX Availability silv EasyPayPlugin ActiveX Availability
ac ACUBEFILECTRL ActiveX Availability* - -
- - mg MagicLoaderX ActiveX Availability
- - nv NVersionMan ActiveX Availability
si SIClientAccess ActiveX Availability si SIClientAccess ActiveX Availability
du DUZONERPSSO ActiveX Availability du DUZONERPSSO ActiveX Availability
iw INIWALLET61 ActiveX Availability - -
- - ad admctrl ActiveX Availability
- - dw WSActiveBridgeAX ActiveX Availability***
- - ve Voice Conversion Software “WSActiveBridge” WebSocket Availability****
* detection of the previous ActiveX zero-day object
** detection of the ActiveX object related to DRM software (one of the new targets)
*** detection of the ActiveX object related to voice conversion software (one of the new targets)
**** detection of the WebSocket related to voice conversion software (one of the new targets)

표 1. 이전 스크립트와 새로운 스크립트가 수집한 정보 비교 표


ActiveX 외에도 스크립트는 새로운 코드를 추가하여 Websocket을 로컬호스트로 연결하였습니다. 음성 변환 소프트웨어는 로컬호스트에서 수신하는 Websocket 서비스를 통해, 소프트웨어가 사용하는 45461 혹은 45462 포트에 연결될 수 있는지를 감지하는 스크립트가 주입되어 있습니다.

또한 이전 스크립트의 확인 프로세스는 인터넷익스플로러 브라우저에서만 ActiveX 를 탐지했었습니다. 하지만 6월에 발견된 스크립트에서는 크롬 및 파이어폭스와 같은 다른 브라우저에서도 Websocket 확인을 수행할 수 있게된 것이 확인되었습니다. 이는 공격자가 대상 기반을 확장하고 ActiveX 모듈 뿐 아니라 소프트웨어 자체에도 관심이 있음을 보여주며, 이러한 변화에 따라 ActiveX 이외의 공격 벡터를 사용할 수 있다는 것을 보여줍니다.


그림 3. 음성 변환 소프트웨어 ActiveX 개체 및 로컬 Websocket 가용성을
감지하기 위한 스크립트 (난독화 해제)



그림 4. 음성 변환 소프트웨어 (WSActiveBridge.exe)가 포트 45461 및 45462 에서 수신 중


정찰 활동은 공격자가 어떤 전술이 효과가 있을지 결정하는데 도움을 주기 위해 잠재적 목표물로부터 정보를 수집하는 단계입니다. 따라서 이러한 안다리엘(Andariel) 그룹의 새로운 활동을 보았을 때, 그들의 다음 공격 행보를 어느 정도 예측해 볼 수 있습니다.

이와 같은 위협에 한발 앞서 나가기 위해, 사용자 환경에서 다계층의 보호 기능을 사용하는 것이 좋습니다. Trend Micro™ Smart Protection SuiteWorry-Free™ Business Security 와 같은 트렌드마이크로의 엔드포인트 보안솔루션은 악성 파일 및 스팸 메시지를 감시하고 이에 관련된 모든 악성 URL을 차단하여 사용자와 기업을 이러한 위협으로부터 보호합니다. Trend Micro Deep Discovery™ 는 악성 첨부파일과 URL을 감지할 수 있는 이메일 감지 계층 기능으로 기업을 보호합니다.

Trend Micro™ OfficeScan™ 은 하이파이 머신러닝 기술과 기존의 탐지 기술 및 글로벌 위협 인텔리전스와 혼합된 XGen™ 엔드포인트보안 기술로 더 강력하게 지능형 위협에 맞서 포괄적인 보안을 제공합니다.


침해지표 (IoC)

IoC Description
cfcd391eec9fca663afd9a4a152e62af665e8f695a16537e061e924a3b63c3b9 Injected Script in May 2018
e0e30eb5e5ff1e71548c4405d04ce16b94c4cb7f8c2ed9bd75933cea53533114 – Injected Script in Injected Script in June 2018
hxxp://aega[.]co[.]kr/mall/skin/skin.php Compromised site (received information May 2018)
hxxp://www[.]peaceind[.]co[.]kr/board/icon/image.php Compromised site (received information May 2018)
hxxp://adfamc[.]com/editor/sorak/image.php Compromised site (received information June 2018)

[원문: New Andariel Reconnaissance Tactics Hint At Next Targets]