noMu Backdoor를 이용한 APT 공격 사례 분석 보고서
AhnLab SEcurity intelligence Center(ASEC)은 최근 알려지지 않은 공격자가 국내 사용자와 시스템들을 대상으로 다양한 원격 제어 악성코드들을 설치하는 공격 사례를 확인하였다. 공격자는 다양한 리버스 쉘, 백도어, VNC 악성코드들을 사용하였으며 이외에도 원격 화면 제어를 위해 RDP를 사용하기도 하였다. 공격자가 제작한 것으로 추정되는 악성코드 중에는 출력 결과를 한글 인코딩으로 변환하는 코드가 존재하는 것을 보면 주요 공격 대상은 한국어 사용자일 것으로 보인다.
Figure 1. noMu Backdoor의 한글 인코딩 루틴
직접적인 최초 침투 방식은 확인되지 않지만 개인 사용자를 대상으로 한 공격 사례에서는 스피어 피싱 방식을 사용해 악성코드를 메일에 첨부한 것으로 추정된다. 물론 이외에도 국내 취약한 IIS 웹 서버 및 MS 익스체인지 서버를 공격하여 악성코드를 설치하는 사례도 함께 확인되는 것이 특징이다.
Figure 2. 악성코드 유포 사이트에서 확인된 워드 문서
공격에 사용된 악성코드들로는 직접 제작한 것으로 추정되는 리버스 쉘 악성코드와 파이썬으로 개발된 백도어인 noMu 그리고 소스 코드가 공개된 중국 백도어 Fxfdoor가 존재하며 AsyncRAT, Tight VNC, Netcat, AnyDesk 등 대부분이 원격 제어를 위한 악성코드들이 사용되었다. 물론 이외에도 RDP 접속을 위한 프록시와 백도어의 실행을 담당하는 런처 악성코드들이 함께 사용되었다.
Fxfdoor는 과거 북한 Kimsuky 위협 그룹으로 추정되는 공격자가 사용한 것으로도 알려져 있다. 해당 공격 사례는 2018년 초부터 암호화폐 거래소와 이용자를 노리는 공격 캠페인이었으며 상세한 내용은 “Operation Moneyholic” 보고서에서 다루고 있다. 여기에서는 C&C 서버와의 통신 과정에서 “fxftest” 문자열을 전송하는 것이 특징을 기반으로 Fxfdoor로 분류한다.
Figure 3. C&C 통신 과정에서 사용되는 fxftest 문자열
공격자는 이러한 악성코드들을 이용해 감염 시스템에 대한 제어를 탈취할 수 있었다. 공격자의 최종적인 목적은 아직 정확하게는 알 수 없지만 랜섬웨어나 코인 마이너를 추가적으로 설치하는 사례는 확인되지 않았다. 공격 과정에서는 감염 시스템에 WebBrowserPassView를 설치해서 웹 브라우저에 저장된 자격 증명 정보를 탈취한 이력이 확인되었으며 대부분의 사례가 감염 시스템에 대한 제어 획득인 것을 보면 공격자의 목적은 정보 탈취일 것으로 추정된다.
| 개요 공격 사례 분석 …. 1. 초기 침투 과정 …. 2. 공격에 사용된 악성코드 분석 …….. 2.1. 원격 제어 악성코드 …….. 2.2. Proxy …….. 2.3. Launcher …. 3. 감염 이후 …….. 3.1. 정보 조회 …….. 3.2. 지속성 유지 …….. 3.3. RDP 관련 …….. 3.3. 정보 탈취 안랩 대응 현황 결론 IoC (Indicators of Compromise) …. 주요 파일 이름 …. 파일 Hashes (MD5) …. 관련 도메인, URL 및 IP 주소 |
