북한 해킹그룹, 국내 방산·자동차부품·반도체 제조업 대상으로 스몰타이거 악성코드 유포
김수키·안다리엘과 유사한 공격 수법 사용, 멀티RDP·미터프리터·두리안비컨 악성코드 설치
메일 첨부 파일·실행 파일 각별히 주의, 보안 프로그램 모니터링 및 취약점 패치해야

[보안뉴스 박은주 기자] 북한 해킹그룹이 국내 방산업체, 자동차 부품·반도체 제조업 기업들을 대상으로 ‘스몰타이거(SmallTiger)’ 악성코드를 유포하고 있다. 감염 시스템 자격증명을 탈취하고, 추가 악성코드 설치 및 각종 악성 행위가 잇따르기 때문에 감염 예방에 주의를 기울여야 한다.


안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 최초 공격은 2023년 11월에 확인됐다. 북한 해킹그룹 김수키(Kimsuky)가 사용하는 악성코드를 사용하거나 과거 안다리엘이 유포한 두리안비컨(DurianBeacon) 악성코드를 설치했다. 동일한 공격자가 2024년 2월부터 스몰타이거 악성코드를 활용한 공격을 이어가고 있는 것.


최초 공격사례를 살펴보면, 멀티RDP(MultiRDP, Multi Remote Desktop Protocol)와 미터프리터(Meterpreter) 악성코드를 이용했다. 멀티RDP는 현재 실행 중인 원격 데스크톱 서비스의 메모리를 패치해, 다수의 사용자가 RDP로 접속할 수 있도록 설정하는 악성코드다. 공격자가 시스템 사용자 외 다른 계정으로 로그인할 때 들키지 않고 접속할 수 있는데, 김수키 그룹이 주로 사용하는 수법이다. 미터프리터는 백도어 악성코드로서 코발트 스트라이크와 비슷하게 명령 실행, 정보탈취, 측면 이동 등 기업 네트워크 장악을 위한 기능을 제공한다. 김수키 그룹이 자주 사용하는 엔지록(Ngrok) 악성코드 등이 발견됐다.

또한, 기업 내 소프트웨어 업데이트 프로그램을 통해 과거 안다리엘이 유포했던 두리안비컨(DurianBeacon) 악성코드를 설치했다. 두리안비컨은 GO언어로 개발된 백도어 악성코드로 C&C 서버로부터 공격자 명령을 받아 악성 행위를 수행한다. 최초 접속 이후 감염 시스템의 IP 정보, 사용자 이름, 데스크톱 이름, 아키텍처, 파일명을 전송, 명령 전달을 수행한다. ASEC는 “공격자는 최초 침투 이후 기업 내부 인프라를 장악하기 위해 두리안비컨을 유포하고, 정보를 탈취한 것으로 추정된다”고 설명했다.


2024년 2월부터 자행된 공격에서는 내부전파 과정에서 최종적으로 스몰타이거라는 이름의 DLL 포맷 악성코드가 설치됐다. 스몰타이거는 다운로더로서 C&C 서버에 접속해 페이로드를 내려받아 메모리상에서 실행하는 기능을 담당한다. 이때 침투 과정에서 자격증명 정보를 수집하기 위한 도구인 미미카츠(Mimikatz)와 프록덤프(ProcDump)를 설치하기도 했다.

ASEC가 공유한 사례에서는 너소프트(NirSoft)의 웹브라우저패스뷰(WebBrowserPassView)와 웹 브라우저 정보를 탈취하는 악성코드가 함께 확인되기도 했다. 악성코드는 커맨드 라인 도구로 구글 크롬, 파이어폭스, 인터넷 익스플로어에 저장된 계정 정보와 히스토리 정보를 추출해서 보여준다.


다른 사례에서는 드로퍼 유형이 아닌 설치파일 형식으로 악성코드가 다운로드 됐으며, Mshta 명령으로 C&C 서버에서 악성 자바스크립트를 내려받아 실행했다. 내부에 포함된 페이로드를 특정 영역에 생성하고, 최종적으로 스몰타이거가 실행됐다. 또한, 2024년 4월에는 기존 사용하던 C&C 서버가 아닌 깃허브를 통해 스몰타이거가 유포됐다.

이에 따라 사용자는 발신인이 불분명한 메일 첨부 파일이나 웹 페이지에서 내려받은 실행 파일은 각별히 주의해야 한다. 기업 보안담당자는 보안 프로그램 모니터링을 강화하고 프로그램 보안 취약점 패치를 신속히 수행해야 한다. OS 및 인터넷 브라우저 등의 프로그램을 최신 버전으로 업데이트해 악성코드 감염을 예방해야 한다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>