보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
2024년 국가 지원 위협 행위자의 악성코드 공격 트렌드
2025.01.08
459
01. 국가 지원 위협 행위자의 2024년 공격방식 요약
최근 사이버 보안 환경에서 국가 지원 위협 행위자들은 보안 위협의 주요 요인으로 자리 잡고 있다. 이들은 악성코드 공격을 통해 정보 탈취, 시스템 파괴, 재정적 이득을 추구한다. 최근에는 사이버 범죄자와 협력하거나 동일한 도구를 사용해 두 집단 간 경계가 모호해지는 추세이다. 이러한 변화는 단순한 해킹을 넘어, 사이버 공간에서의 새로운 양상과 전략을 보여주고 있다.
북한은 정보 탈취를 목표로 하는 Kimsuky와 Konni 그룹이 사용하는 C2가 탈취된 서버에서 점차 일반인들이 이용하는 클라우드 저장소를 C2로 사용하는 빈도가 늘고 있으며 Lazarus와 BlueNoroff 그룹의 경우 가짜 회사 또는 게임을 이용하여 암호화폐를 탈취하거나 타겟형 랜섬웨어 유포하여 파일 복구에 지불하는 암호화폐를 세탁하여 국가 재정적 이득을 목표로 하고 있다.
이란의 경우 2023년부터 진행 중인 이스라엘-하마스 전쟁에서 이스라엘을 표적으로 파괴적 랜섬웨어와 악성코드를 배포하는 Void Manticore 그룹과 맞춤형 백도어를 활용하는 MuddyWater 그룹이 활발하게 공격을 진행하면서 사이버 페르소나를 통한 영향력 확보전을 통해 하이브리드 전쟁(hybrid war)의 양상으로 넘어가고 있다.
러시아 역시 이란과 비슷하게 2022년부터 진행 중인 우크라이나-러시아 전쟁이 지속되는 와중에 러시아 연방보안국(FSB) 소속 위협 행위자인 UAC-0184가 목적이 같은 공격그룹인 Storm-0593, Aqua Blizzard와 연계하여 우크라이나 내 정부 및 군대를 대상으로 RemcosRAT, QuasarRAT을 포함한 다양한 종류의 원격 접속 도구를 활용한 정교한 정보 탈취 공격을 수행하고 있다.
북한, 이란, 러시아는 각각의 전략과 목표를 가지고 있지만, 이들의 공통점은 스피어피싱과 PowerShell 기반 공격 등 정교한 기법을 사용해 위협을 가중하고 있다. 본 보고서는 이러한 국가 지원 위협 행위자들의 2024년 최신 악성코드 트렌드와 공격 방식을 분석함으로써, 보안 담당자와 조직이 효과적으로 대응할 수 있는 실질적인 방안을 제시하고자 한다. 특히, 이들의 공통된 공격 기술을 중심으로 이를 예방하기 위한 방지 대책과 대응 전략을 전달하고자 한다.
02. 북한발 위협 행위자의 악성코드 공격 트렌드
북한의 경우 크게 국내외 외교·안보 문제 관련 정보수집을 목표로 하는 Kimsuky, Konni 그룹과 암호화폐 탈취를 통한 국가 자금 확보를 목표로 하는 Lazarus, BlueNoroff 등의 그룹으로 나뉘게 된다. 먼저 Kimsuky, Konni 그룹이 사용하는 공격 방식에 대해서 알아보고자 한다.
1) Kimsuky, Konni
정보수집/탈취를 목표로 하는 Kimsuky, Konni의 경우 최초 피해자를 대상으로 스피어피싱을 통해 첨부파일을 읽어보도록 하는 내용을 포함하고 있다. 첨부파일의 경우 문서파일로 위장한 LNK, CHM 확장자를 사용하여 CMD 또는 Powershell 코드를 동작시키는 것을 목표로 한다.
실행된 코드는 LNK 또는 CHM 내부 데이터를 복호화하여 미끼 문서, 추가 악성코드를 생성하여 저장 및 실행한다. 보통 미끼 문서가 먼저 실행되어 사용자 입장에서는 문서파일이 열렸다고 착각하게 되며, 백그라운드에서 추가 악성코드가 실행되어 악성 행위를 진행하는 구조이다. [표 1]은 2024년 1~10월까지 수집된 샘플에서 1~5월, 6~10월을 기준으로 공격에 관련된 내용을 표로 정리하였다.
[표 1]을 기준으로 첫 번째 특이 사항은 C2와 관련된 것으로 초기 악성 행위에 사용되는 악성파일을 내려받을 때의 공격 벡터 또는 최종 악성코드 실행 이후의 전술적인 관점에서 클라우드 스토리지를 적극 활용한다는 점이다. 보통 공격자가 노출되지 않기 위해서 WordPress 기반 페이지 또는 탈취한 사이트에 공격자가 사용할 페이지, 악성코드를 삽입하여 추가 페이로드를 전달한다. 하지만 매번 정상 서버를 탈취해야 한다는 점과 지속적인 작업으로 인해 추적의 가능성이 존재하기에 Dropbox, pCloud, Yandex, Google Drive 등 클라우드 서비스를 C2로 옮기고 있다.
보통, 조직의 방화벽이나 보안 솔루션에서 클라우드 서비스는 차단되지 않는 경우가 많으며 쉽게 의심받지 않는다는 점을 노린 것으로 보인다. 또한, 직접 운영에 비해 비용이 적게 들거나 없을 수도 있고 추적당했을 경우에 빠르게 폐기할 수 있다는 장점을 노려 공격에 다수 사용된 것으로 보인다.
[표 1]을 기준으로 두 번째 특이 사항은 초기 진입에 사용되는 파일이 LNK에서 MSC, MSI 등 다른 확장자를 점차 사용하고 있다는 점이다. Kimsuky, Konni는 2022~2023년부터 LNK, CHM 확장자를 이용하여 초기 침투에 많이 사용하였다. 하지만 CHM의 경우 아이콘 변경이 불가능하다는 단점이 존재하기 때문에 위장을 통한 공격에 사용하기 어렵다고 판단하여 LNK를 이용한 악성 행위를 진행하여 왔다. 2024년 5월 Microsoft Common Console 문서 형식의 파일인 MSC 확장자를 이용한 공격 방식을 최초로 확인하였다.
MSC 확장자 파일 내부는 XML(eXtensible Markup Language) 언어 구조로 설정을 통해 원하는 아이콘처럼 보이게 구성이 가능하다. [그림 1]의 경우 Windows Word를 지정하였으나 아이콘의 경로가 절대경로로 지정되어 있어 Office 2016 버전이 설치되지 않은 경우 아이콘 표시가 되지 않는다.
XML 구조 중 CommandLine 부분에 사용하고자 하는 명령 프롬프트, 실행 시 윈도우 상태, 매개변수를 지정할 수 있다. [그림 2]을 기준으로 cmd.exe를 최소화로 실행한 다음 [표 2]의 코드를 순차적으로 실행한다. 최종 행위는 현재 PC에서 실행 중인 프로세스 리스트를 C2로 전달 후 응답 값 내 VBS 코드 실행을 목표로 한다.
2) Lazarus, BlueNoroff, Moonstone Sleet
Lazarus와 BlueNoroff는 매우 정교한 북한 정부 기반의 위협 행위자로 잘 알려져 있다. 공격에 사용되는 악성코드는 Manuscrypt 또는 NukeSped로 알려진 백도어를 사용하여 정부, 외교 기관, 금융 기관, 군사 및 방위 계약업체, 암호화폐 플랫폼, IT 및 통신 운영자, 게임 회사, 언론사, 카지노, 대학, 심지어 보안 연구자들을 대상으로 한 다양한 캠페인을 통해 정보 및 암호화폐 탈취에 초점을 두고 있다.
Moonstone Sleet의 경우 Lazarus와 유사한 형태를 보인 북한 정부 기반의 위협 행위자로 미국과 한국의 IT 서비스 및 소프트웨어 회사를 대상으로 사회공학, 가짜 회사를 통한 스피어 피싱을 통해 정보 탈취에 주력하고 있다.
2024년 4월경, 소프트웨어 및 정보 기술, 교육, 국방 산업 기반 조직을 대상으로 한 맞춤형 랜섬웨어인 FakePenny 배포하였다. 2022년 의료기관 목표로 사용되었던 HolyGhost 랜섬웨어와 Maui 랜섬웨어의 경우 복호화 비용으로 10만 달러 상당의 비트코인을 요구하였으나 FakePenny의 경우 데이터 복호화에 약 660만 달러 상당의 비트코인을 요구하고 있어 랜섬웨어를 배포하는 주된 동기를 재정적 이득을 목표로 볼 수 있다.
Lazarus, BlueNoroff, Moonstone Sleet 그룹은 2024년 5월, 8월에 발생한 Google Chrome V8 Type Confusion 취약점을 악용하였으며 CVE-2024-5274를 제외한 CVE-2024-4947, CVE-2024-7971을 실제 공격에 사용한 것으로 알려졌다. CVE-2024-4947, CVE-2024-7971의 경우 CVE 번호가 생성되기 이전에 공격이 진행되어 공격 당시에는 제로데이 취약점을 직접 찾아내어 공격에 활용하고 있다.
첫 번째로 악용된 취약점인 CVE-2024-4947의 경우 2024년 5월부터 분산 금융(DeFi) 기반의 NFT 멀티플레이어 온라인 배틀 아레나(MOBA) 게임인 DeTankZone를 이용하여 메시지 전달 플랫폼이나 이메일을 통해 게임 개발자로 위장하여 목표에 접근 후 게임 관련 블록체인 프로젝트 협업을 위한 개발자 채용 관련 내용으로 대상을 속였다. 위장한 메일을 통해 게임 링크(악성 링크)를 발송하였으며, 피해자가 링크 클릭 시 Google Chrome V8 Type Confusion 취약점(CVE-2024-4947)을 통해 쉘코드를 실행하여 PC 정보를 탈취하는 데 이용하였다.
DeTankZone가 도용한 게임을 추적한 결과 DeFiTankLand(DFTL)로 불리는 게임으로 개발자들의 텔레그램 채팅을 분석하면서 공격 타임라인을 구축하였다. 2024년 2월 20일, 공격자들은 자신들의 게임을 X(구 트위터)에 광고하며 캠페인을 시작했으며 약 2주 후인 2024년 3월 2일, DeFiTankLand의 통화인 DFTL2 코인의 가격이 급락했고, 게임 개발자들은 텔레그램을 통해 콜드 월렛을 해킹당해 20,000달러 상당의 DFTL2 코인이 도난당했다고 발표했다. Kaspersky의 추적 결과 Lazarus 소행일 가능성이 높다고 보고 있으며 코인을 훔치기 전에 게임의 소스 코드를 먼저 탈취해, DeFiTankLand의 로고와 모든 참조를 수정한 뒤 이를 캠페인에 활용하여 더욱 신뢰성을 높였을 것으로 보고 있다.
두 번째로 악용된 취약점인 CVE-2024-7971의 경우 2024년 8월에 발견되었으며 Google Chrome V8 Type Confusion 취약점으로 발견된 3번째 제로데이 취약점이다. FudModule이라는 루트킷을 배포하는 데 사용되었으며 가상화폐 분야를 겨냥하여 공격하는 데 사용되었을 것으로 추측한다. 해당 공격에서는 샌드박스 탈출 후 원격 코드 실행이 가능한 Google Chrome 취약점(CVE-2024-7971)과 Windows 소켓(Winsock) 인터페이스에서 커널 모드 지원을 담당하는 AFD.sys 내 제로데이 취약점(CVE-2024-38106)을 연계하여 사용하여 커널 메모리에 대한 R/W가 가능해지게 되면서 루트킷을 실행한다.
03. 이란발 위협 행위자의 악성코드 공격 트렌드
1) Wiper 악성코드
이란 정보보안부(MOIS) 소속으로 알려진 Void Manticore 그룹은 이메일 탈취 및 정보 파괴성(Wiper) 악성코드를 이용한 파괴적인 성향을 보인 그룹으로 2022년 알바니아를 대상으로 공격하는 공격 그룹인 Scarred Manticore와 유사하다고 평가받는다. [표 5-6]은 Scarred Manticore와 Void Manticore의 공격 정보를 정리한 내용으로 동일한 취약점을 사용한 초기 접근 시도와 목표인 이메일 탈취 및 Wiper 악성코드 사용에 유사성을 보인다.
2023년 10월 7일 시작된 이스라엘-하마스 전쟁에서 Void Manticore 그룹은 이스라엘을 대상으로 공격 수행 시 온라인 페르소나인 “Karma”를 전면에 내세워 공격에 사용하였다. Karma는 이스라엘-하마스 전쟁이 발발한 직후 텔레그램 채널을 통해 합류했고, 2023년 11월 웹사이트를 개설했다. 이 웹사이트는 이스라엘 정부, 특히 베냐민 네타냐후 (별명: BiBi) 대통령에 반대하는 반 시온주의 유대인 그룹("반시온주의 유대인 해커")의 가짜 온라인 페르소나를 구축했다. Karma는 정부의 군사 행동에 의해 촉발된 "나비 효과"의 산물이라고 주장하며, 따라서 나비 아이콘을 그 상징의 일부로 사용합니다. 웹사이트에 업로드된 내용은 고가치 목표를 포함하여 40개 이상의 이스라엘 조직을 성공적으로 데이터 삭제 후 탈취한 데이터를 업로드한 것으로 주장한다.
Wiper 악성코드 실행을 위해 초기 접근에 Microsoft SharePoint 원격 코드 실행 취약점인 CVE-2019-0604를 이용한다. 취약한 서버에 접근이 성공한 경우 RDP 접속을 통한 측면 이동을 시도하며 AD Explorer 등 공개된 도구를 이용하여 추가로 접근할 수 있는 자산을 찾는다. 접근할 수 있는 자산에 대해서 Wiper 악성코드를 이동 후 실행하여 데이터 파괴 공작을 진행하게 된다.
Wiper 악성코드는 BiBi Wiper로 불리며 Virustotal에 공개된 리눅스 버전은 2023년 10월 22일, 윈도우 버전은 2024년 2월 23일로 확인된다. BiBi는 이스라엘 대통령인 베냐민 네타냐후의 별명인 BiBi를 사용한 것으로 보이며 리눅스 버전 실제 실행 시 목표 파일에 복구 불가능한 데이터를 덮어씌운 뒤 ([A-Za-z0-9]{10}.BB[1-4]) 파일명으로 변경한다. (DE9DA4FCFB8320B9D34239EFFCE1871A)
BiBi Wiper의 리눅스 버전은 경로를 입력받아 실행하며 경로와 CPU 코어, 스레드를 출력한 이후 지정된 경로 내 파일의 파괴 작업을 진행한다. 공격자는 콘솔이 종료되는 상황에서도 동작하기 위해 실행 시 nohup 명령어를 추가하여 사용하며 .so/.out 파일의 파괴 작업은 진행하지 않는 것으로 확인된다.
BiBi Wiper의 윈도우 버전은 2024년 10월경에 최초로 발견된 버전과 2024년 2월 23일에 Virustotal에 공개된 두 가지 버전이 존재한다. 현재 확보 가능한 2024년 버전을 기준으로 분석을 진행하고자 한다.(Cdf7bd4489e156d29af9e73a7dd3d160)
실행 시 “OK, It wasn't …” 문자열 이후 설정된 경로 또는 실행된 경로의 상위 경로를 기준으로 파괴 작업을 실행한다. 실행 시 화면은 리눅스 버전과 동일하며 작업이 완료된 파일은 ([A-Za-z0-9]{10}.BB[1-5]) 파일명으로 변경된다.
작업 완료 시 블루스크린이 발생하며 재부팅 시 부트 지점을 찾을 수 없어 해당 PC 사용이 불가능하게 된다.
시작 시 발생하는 문구의 경우 이스라엘 대상으로 공격하기 때문에 조롱성으로 삽입한 것으로 추측된다.
디스크 내 파티션 정보 제거를 위해 DeviceIoControl API를 로드하며 작업의 결과로 각 디스크의 0 섹션이 삭제된다.
파일 내 랜덤한 데이터를 덮어씌운 뒤 파일명을 ([A-Za-z0-9]{10}.BB[1-5]) 파일명으로 변경한다.
복구 자체를 불가능하게 하기 위해 볼륨 섀도우 영역 삭제 수행을 위한 명령어를 뒤집어서 저장한 것으로 확인된다.
2) BugSleep Backdoor
이란 정보보안부(MOIS) 산하 위협 행위자인 머디워터(MuddyWater)는 2017년부터 중동, 아시아, 아프리카, 유럽, 북미의 통신, 국방, 석유 및 천연가스 조직을 포함한 다양한 정부 및 민간 조직을 표적으로 삼아 정보 탈취를 진행하는 공격그룹으로 알려져 있다.
이스라엘-하마스 전쟁 시작 직후 MuddyWater는 이스라엘의 조직을 대상으로 한 새로운 맞춤형 백도어인 “BugSleep”을 지속적으로 유포하였다. 최초 접근 단계에서 항공, 정부 및 교육기관, 의료, 물류 등 약 50개 이상의 조직을 대상으로 스피어피싱 이메일을 발송하였다.
[그림 19]은 교육기관을 대상으로 한 스피어피싱 메일로 온라인 과정 참여를 위해 첨부파일을 확인하라는 내용으로 첨부파일인 getter.pdf를 실행하면 등록을 위해 아래 링크를 클릭하라는 내용으로 확인된다.
BugSleep Backdoor를 최초 실행 시 치환 암호를 이용하여 사용하고자 하는 문자열 및 API의 복호화 작업을 먼저 진행하였다. (MD5: d783001d1f98fe3b33e7b97b0b7d96dc)
중복 실행 방지를 위해 PackageManager 이름의 Mutex를 생성하며 중복 실행 시 프로그램이 종료된다.
악성코드 은닉을 위해 C:\ProgramData\PackageManager 폴더를 생성한 이후 현재 실행된 경로를 가져와 실행된 파일을 C:\ProgramData\PackageManager 폴더로 복사한 다음 packagemanager.exe로 변경한다.
이후, 메모리에 직접 실행하기 위해 인젝션 할 대상의 핸들 확보를 시도하는데 총 6개 프로세스의 실행 여부를 확인한다. 6개 프로세스가 모두 실패할 경우 svchost.exe를 인젝션 대상으로 지정한다.
인젝션 대상이 지정된 경우 암호화된 쉘코드를 복호화 한 이후 인젝션 대상에 주입하여 실행하게 된다.
쉘코드로 실행된 악성코드는 Mutex와 동일한 이름으로 예약된 작업을 생성하여 지속성을 위해 하루단위로 반복하며 30분마다 실행되도록 설정한다.
실제 통신이 발생하는 내역을 Wireshark로 확인한 결과 각 HEX 데이터에 3을 빼서 암호화하여 전송하는 것으로 확인되어 3을 더한 결과 PC명과 사용자 계정을 합쳐서 최초 통신에 사용하는 것으로 확인된다.
현재 C2에서 RST, ACK로 연결이 중단되어 추가적인 확인은 어려우나 응답값에서 [표 7]와 같은 응답이 포함되어 있을 경우 명령 수행이 가능한 악성코드로 확인된다.
04. 러시아발 위협 행위자의 악성코드 공격 트렌드
우크라이나와 러시아의 전쟁이 지속되는 와중에 우크라이나 CERT에서는 자국의 사이버 피해에 관련된 보고서를 주기적으로 업데이트하고 있다. 대표적으로 거론되는 공격 그룹으로 UAC-0050, UAC-0184가 있다.
UAC-0050은 2020년부터 우크라이나의 정부 기관을 목표로 공격을 수행하는 해킹그룹으로 알려져 있다. 그들이 주로 사용하는 악성코드인 RemcosRAT(Remote Control and Surveillance Software)는 독일에 본사를 둔 브레이킹 시큐리티가 개발한 합법적인 원격 감시 도구지만 해커가 원격 도구의 기능을 악용하여 자신들의 목적에 사용한다.
UAC-0184는 2023년부터 우크라이나의 정부 기관을 목표로 공격을 수행하는 해킹그룹으로 UAC-0050 와 동일하게 RemcosRAT을 사용하거나 GitHub 등에 공개된 XwormRAT을 악용하여 자신들의 목적에 사용한다. 2024년 6월에는 UAC-0184, Storm-0593 및 러시아 연방보안국(FSB) 소속으로 알려진 Aqua Blizzard가 연합하여 우크라이나 군 관련 장치 약 50대에 접근하여 정보를 탈취한 이력이 존재한다.
RemcosRAT, QuasarRAT, XwormRAT등 정보 탈취에 사용되는 다수의 도구를 이용하여 우크라이나 정부 및 군 관련 자산에 접근 후 정보 탈취 행위를 진행하고 있어 가장 많이 언급되는 RemcosRAT을 기준으로 유포 방식 및 악성 행위 방식에 대해 알아보고자 한다.
우크라이나를 대상으로 한 공격에서 RemcosRAT의 공격 구성도는 [그림 29]와 같다. JavaScript 또는 PowerShell을 중간 거점으로 사용하여 정상 프로세스 또는 메모리 내 인젝션을 통해 RemcosRAT이 실행되며 AutoIt이나 Python 코드를 이용하여 진행하는 방식 또한 존재하는 것으로 확인되었다. RemcosRAT이 최초 실행될 경우 공격자가 설정한 C2로 초기 연결을 시도하며 연결 이후 공격자의 서버에 등록되어 공격자가 원할 때 원격 접속이 가능하게 된다.
RemcosRAT을 실행하는 방법은 공격 그룹마다 차이점이 존재하나 UAC-0050, UAC-0184의 경우 크게 ① 실행된 EXE 영역에서 실행, ② LNK 파일 및 Powershell을 이용한 실행 방식으로 나뉘게 된다.
① 실행된 EXE 영역에서 실행
이메일 내 첨부파일인 roszczenie prawne.rar(한국어 번역은 “법적 청구”)는 내부에 동일한 파일명의 압축파일 1종과 txt 파일 1종을 포함하고 있다. 압축파일 주석 내용은 “기업 보안상의 이유로 개인 PIN 액세스 코드가 8810으로 설정되었습니다.”라는 내용으로 동일한 파일명의 압축 비밀번호를 전달하는 것으로 확인되었다. (MD5: F29595CB46EB5CCC5C93F97BEB3E625D)
roszczenie prawne.exe는 32비트 dotNet 파일로 “Desktop-Reminder 2” 프로그램 설치파일로 위장한 것으로 확인된다.
리소스 영역에 저장된 bFgemjjn, dAknfnFhSpnjaIjFmIkAcFaodFFgrapdg 파일 내용을 복호화 하여 RemcosRAT 실행파일을 생성하며 C:\ProgramData\DVGB에 sql.exe로 자기 자신을 복제한 다음 재실행 후 RemcosRAT 데이터를 로드한다.
② LNK 파일 및 Powershell을 이용한 실행 방식
이메일 내 첨부파일인 Форма претензії.chm.lnk (한국어 번역은 “청구서”)는 CHM으로 위장한 LNK 파일로 실행 시 외부 C2에서 securitycheck.exe, dvs.exe를 다운로드 받아 %appdata% 경로에 저장한다. (MD5: 0c1eb2f8168941dc911360995e8b200c)
securitycheck.exe를 별도로 확보하여 확인한 결과 외부 C2에서 다운로드 받은 921292777.png 파일을 Temp\e37deb9 폴더에 저장하려는 시도를 반복적으로 수행하나 현재 C2가 닫혀있어 추가 행위는 불가능하다.
별도로 확보한 921292777.png 파일의 경우 PNG 형식의 파일이나 IDAT 내 원하는 파일을 압축하여 저장한 형태로 확인되었으며 XOR 연산 결과 가독 가능한 데이터와 %TEMP%\EpServer_dbg 폴더에 저장되는 내용이 확인된다.
최종 압축 해제 시 CMD에 인젝션할 목적의 RemcosRAT 실행파일 1종을 확보하였다.
RemcosRAT의 설정파일은 Resource 영역에서 RCDATA\SETTINGS에 파일로 존재한다. 설정파일의 경우 RC4 암호화 상태로 존재하기 때문에 복호화가 필요하며 1번은 복호화 키의 크기, 2번은 복호화 키로 구성되어 있다.
RemcosRAT 설정파일 복호화 결과 [표 9]과 같은 내용을 확인할 수 있다. 대부분의 경우 동일한 순서로 확인 시 C2, Mutex, Serial Number가 동일한지 파악한 이후 같은 공격그룹의 연계여부를 알 수 있게 된다.
최초 실행 시 프로그램이 컴퓨터를 변경하려고 할 때 Windows UAC(사용자 계정 컨트롤)가 사용자에게 알릴지 여부를 지정하는 EnableLUA 레지스트리를 비활성화하는 작업을 선행한다.
RemcosRAT의 지속성 유지를 위해 조건에 맞는 레지스트리를 불러와 RemcosRAT의 Mutex를 이름으로 시작프로그램에 등록한다.
RemcosRAT 내부 기능 중 특이사항으로 IE, Firefox, Chrome의 쿠기 및 로그인 정보를 삭제하는 함수가 존재한다. 공식문서 내용은 암호 탈취에 대한 시스템 보안 강화가 목적이라고는 하나 실제 공격자는 역으로 이용하여 사용자의 로그인 정보를 쉽게 탈취하는 용도로 악용할 수 있다.
키로깅이 활성화 된 경우 현재창 제목과 입력한 내용을 지정된 폴더에 텍스트 파일로 저장되며 특수 키 처리 로직을 별도로 가지고 있다.
설정 파일에서 기능이 활성화 된 경우 스크린샷 촬영이나 음성 녹음 기능을 이용한 정보탈취 또한 가능하다.
05. MITRE ATT&CK 활용 국가 지원 위협 행위자의 공격방식 정리
국가 지원 위협 행위자의 공격방식을 MITRE ATT&CK을 기준으로 정리하면 [표 5-10]로 정리할 수 있다. 이란 (Void Manticore) 의 경우 파괴적 행위를 하는 랜섬웨어로 다른 위협 행위자들과 다른 Matrix 내용을 확인할 수 있다. 이 외에 나머지 국가의 행위자들은 Initial Access의 스피어피싱과 Execution의 사용자의 파일 또는 링크 실행으로 인해 악성코드가 실행되는 기술이 동일하게 적용되었다. 이후 실행 과정에서 PowerShell을 이용하여 추가적인 실행 과정을 거치게 되고 감염된 PC의 정보 탈취 및 제어를 목표로 사용되고 있는 것으로 정리된다.
3개국 5개 공격그룹 집단의 MITRE ATT&CK에서 공통으로 확인되는 부분은 초기 접근의 스피어피싱과 중간 실행 과정에서 PowerShell의 사용이다. 공통적인 두 가지 항목은 현재 문서 내 언급되는 공격그룹을 포함하여 대부분의 국가 지원 위협 행위자 및 악성 행위자들이 주로 사용하는 공격 방식으로 과거에 비해 해를 거듭할수록 높은 정밀도를 보인다. [표 11]은 스피어피싱 및 PowerShell을 활용한 악성코드 감염 예방을 위해 활용가능한 방안을 제시한 것으로 해당 내용을 참고하여 피해를 조금이나마 예방할 수 있다. 또한, [표 12]의 공개된 YARA Rule을 참고하여 탐지 및 분석에 참고 가능하다.
06. IoC 정보
1) MD5
2) C2
07. 참고자료
1.Bad Karma, No Justice: Void Manticore Destructive Activities in Israel: https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/
2.BiBi-Linux: A New Wiper Dropped By Pro-Hamas Hacktivist Group : https://www.securityjoes.com/post/bibi-linux-a-new-wiper-dropped-by-pro-hamas-hacktivist-group
3.New BugSleep Backdoor Deployed in Recent MuddyWater Campaigns: https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/
4.RemcosRAT, QuasarRAT, RemoteUtilities на озброєнні UAC-0050 (CERT-UA#8453, CERT-UA#8494) : https://cert.gov.ua/article/6277063
5.Месенджери та сайти знайомств - нові способи проведення атак UAC-0184 (CERT-UA#9474): https://cert.gov.ua/article/6278521
6.The Crypto Game of Lazarus APT: Investors vs. Zero-days : https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/
7.North Korean threat actor Citrine Sleet exploiting Chromium zero-day: https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/