• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

북한 해킹그룹 김수키, AppleSeed 악성코드 유포... 감염 시스템 제어 2023.12.24

AppleSeed 설치 시 JavaScript, 엑셀 매크로 악성코드 사용
AlpahSeed·Meterpreter·VNC 악성코드와 윈도우 시스템 RDP 원격 데스크톱 서비스 악용

[보안뉴스 박은주 기자] 북한 해킹그룹 김수키(Kimsuky)의 초기 침투 경로는 스피어피싱이 주를 이룬다. 최근 LNK 포맷의 바로 가기 악성코드를 이용한 공격을 다수 차지하고 있으며, Java Script(자바스크립트) 악성코드나 악성 문서 파일을 이용하는 공격도 이어지고 있다. 주로 메일의 첨부 파일로서 문서 파일을 위장한 악성코드를 유포하는 방식이다, 사용자가 이를 실행할 경우 현재 사용 중인 시스템에 대한 제어 권한이 탈취될 수 있다.

[이미지=gettyimagesbank]


안랩 ASEC 분석팀에 따르면 JavaScript 악성코드를 이용하는 공격은 ‘AppleSeed’ 악성코드 유포가 주로 사용된다. AppleSeed는 C&C 서버로부터 전달받은 공격자의 명령을 수행할 수 있는 백도어 악성코드다. 공격자는 AppleSeed를 이용해 감염 시스템을 제어할 수 있다. 이외에도 추가 악성코드를 설치하는 다운로더 기능과 키로깅 및 스크린 캡처, 그리고 사용자 시스템의 파일을 수집하여 전송하는 정보 탈취 기능들을 지원한다.

▲AppleSeed 설치 시 사용되는 인자[자료=안랩 ASEC 분석팀]


AppleSeed 설치 시 JavaScript뿐만 아니라 엑셀 매크로 악성코드가 사용되기도 한다. AppleSeed를 이용한 공격의 특징은 공격 방식이나 함께 사용하는 악성코드는 큰 변화가 없는데, 유사한 공격 방식을 수년간 지속해서 사용하고 있다는 점이다. 또한 감염 시스템을 장악한 이후 추가로 사용하는 정보 탈취 악성코드나 RDP Patch 악성코드가 2022년 최초로 확인 이후부터 지금까지 같은 파일이 사용되고 있다.

안랩 ASEC 분석팀은 최근 공격 사례에서 사용된 악성코드의 특징을 분석했다. 주요 특징으로는 △AppleSeed 자체는 동일하게 사용하고 있지만 분석을 방해하기 위해 인자를 검사 △AlphaSeed라고 이름 붙여진 AppleSeed 변종 악성코드 사용 등이 있다. 이외에도 AppleSeed 설치 이후 주로 RDP를 이용해 감염 시스템을 제어했던 과거와 달리 최근에는 크롬 원격 데스크톱을 설치하는 사례가 자주 확인되는 점도 특징이다.

AppleSeed는 과거 공격 사례와 동일하게 JavaScript 드로퍼 악성코드를 이용한 유포 방식이 자주 사용된다. JavaScript 드로퍼 악성코드는 AppleSeed를 설치하면서 동시에 HWP, PDF와 같은 문서 파일을 생성해 보여주는 기능을 담당한다. 이 때문에 일반 사용자는 정상적으로 문서 파일을 실행한 것으로 착각할 수 있다.

설치되는 AppleSeed 악성코드 자체는 과거와 유사하다. 그러나 2022년 초부터는 JavaScript 악성코드가 직접 AppleSeed를 설치하는 대신 드로퍼를 거쳐 AppleSeed를 생성하는 방식으로 변경됐다. 단순하게 드로퍼만 설치 과정에서 추가된 것이 아니라 악성코드 실행 시 인자를 검사하는 기능이 추가된 것이 특징이다.

▲로그인에 필요한 쿠키 값[자료=안랩 ASEC 분석팀]


AppleSeed와 비슷한 ‘AlphaSeed’도 존재한다. AlphaSeed는 Go 언어로 개발된 악성코드로서 명령 수행이나 정보 탈취 등 지원하는 기능들이 AppleSeed와 유사하다. 이러한 유사점과 바이너리에 포함된 경로명을 통해 S2W 사에서는 해당 악성코드를 AlphaSeed로 명명했다.

AppleSeed와 비교해서 대부분 기능이 유사하다. 차이점은 Go 언어로 개발됐다는 점이나 ChromeDP를 이용해 C&C 통신을 한다는 점이다. AppleSeed는 공격자로부터 명령을 받거나 수집한 정보를 탈취할 때 주로 HTTP 프로토콜이나 이메일 즉 ‘SMTP’, IMAPS 프로토콜을 이용했다.

AlphaSeed도 C&C 통신에 이메일을 사용하지만 직접 메일을 발송하는 대신 ‘ChromeDP’ 도구를 이용한다. 로그인 과정도 다른데 직접 아이디, 패스워드를 이용하는 대신 특정 계정으로 로그인하는 데 필요한 쿠키 값을 이용해 로그인하는 것이 특징이다.

▲메타스플로잇 미터프리터를 다운로드하는 쉘코드[자료=안랩 ASEC 분석팀]


이 밖에도 김수키 해킹그룹이 감염 시스템에 대한 제어를 탈취하기 위해 Meterpreter 및 VNC 악성코드를 사용하고 있으며, 윈도우 시스템에 기본적으로 존재하는 RDP 원격 데스크톱 서비스를 악용하기도 한다.

최근에는 원격 제어를 위해 구글 크롬의 원격 데스크톱 기능을 악용하는 사례도 확인되고 있다. 따라서 사용자는 메일의 발신자를 상세하게 확인하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>