미국 법무부(DoJ)는 목요일 북한 군사 정보 요원에 대한 기소장을 공개했습니다. 해당 요원은 북한 내 의료 시설을 대상으로 랜섬웨어 공격을 감행하고 전 세계의 국방, 기술, 정부 기관에 대한 추가 침입을 조직하는 데 필요한 비용을 지불한 혐의를 받고 있습니다.
“림종혁과 그의 공모자들은 랜섬웨어를 배포하여 미국 병원과 의료 회사를 갈취한 다음, 그 수익을 세탁하여 북한의 불법 활동에 자금을 지원했습니다.” 연방수사국(FBI) 부국장 폴 애베이트가 말했습니다. “이러한 용납할 수 없고 불법적인 행동은 무고한 생명을 위험에 빠뜨렸습니다.”
기소와 동시에 미국 국무부는 그의 소재를 밝히거나 악의적인 활동과 관련된 다른 개인의 신원을 알아낼 수 있는 정보에 대해 최대 1,000만 달러의 보상금을 제공하겠다고 발표했습니다.
Andariel(APT45, Nickel Hyatt, Onyx Sleet, Silent Chollima, Stonefly, TDrop2라고도 함)이라는 해킹팀의 일원인 Hyok은 2022년 일본과 미국의 조직을 표적으로 삼은 것으로 처음 밝혀진 Maui라는 랜섬웨어 변종을 포함한 협박 관련 사이버 공격의 배후에 있는 것으로 알려져 있습니다.
몸값 지불은 홍콩에 있는 중개업체를 통해 세탁되어 불법 수익을 중국 위안으로 바꾼 뒤 ATM에서 인출하여 가상 사설 서버(VPS)를 조달한 뒤 이를 통해 중요한 방위 및 기술 정보를 빼돌렸습니다.
이 캠페인의 타깃에는 미국 공군 기지 두 곳, NASA-OIG, 한국과 대만의 방위 계약자, 중국의 에너지 회사가 포함됩니다.
국무부가 강조한 한 사례에서 2022년 11월에 시작된 사이버 공격으로 위협 행위자들이 이름을 밝히지 않은 미국 방위 계약자로부터 30기가바이트가 넘는 데이터를 빼돌렸습니다. 여기에는 군용 항공기와 위성에 사용되는 재료에 대한 비밀이 아닌 기술 정보가 포함되었습니다.
기관들은 또한 “랜섬웨어 공격과 관련 자금 세탁 거래로 발생한 약 114,000달러 상당의 가상화폐 수익을 차단하고, 공모자들이 악의적인 사이버 활동을 수행하는 데 사용한 온라인 계정을 압수한다”고 발표했습니다.
정찰총국(RGB) 3국에 소속된 안다리엘은 외국 기업, 정부, 항공우주, 핵 및 방위 산업을 공격하여 정권의 군사적, 핵적 야망을 달성하기 위해 민감하고 기밀스러운 기술 정보와 지적 재산권을 획득한 전력이 있습니다.
최근 관심을 끄는 타깃으로는 한국의 교육기관, 건설회사, 제조업체 등이 있습니다.
국가안보국(NSA)은 “이 그룹은 미국, 한국, 일본, 인도를 포함하되 이에 국한되지 않는 전 세계의 다양한 산업 부문에 지속적인 위협을 가하고 있습니다.”라고 말했습니다. “이 그룹은 미국 의료 기관에 대한 랜섬웨어 작전을 통해 간첩 활동에 자금을 지원합니다.”
초기 목표 네트워크에 대한 접근은 인터넷 접속 애플리케이션의 알려진 N-day 보안 결함을 악용하여 이루어지며, 해킹 그룹은 맞춤형 백도어, 원격 액세스 트로이 목마, 기성 도구, 오픈소스 유틸리티 등을 조합하여 후속 정찰, 파일 시스템 열거, 지속성, 권한 상승, 측면 이동, 데이터 유출 단계를 수행할 수 있습니다.
문서화된 다른 맬웨어 배포 벡터에는 Microsoft Windows 바로가기(LNK) 파일이나 ZIP 아카이브 내의 HTML 애플리케이션(HTA) 스크립트 파일과 같은 악성 첨부 파일이 포함된 피싱 이메일을 사용하는 것이 포함됩니다.
미국 사이버 보안 및 인프라 보안 기관(CISA)은 “해커들은 Living-off-the-land(LotL)로 알려진 시스템에서 네이티브 도구와 프로세스를 사용하는 데 능숙합니다.”라고 말했습니다. “그들은 시스템, 네트워크 및 계정 열거를 위해 Windows 명령줄, PowerShell, Windows Management Instrumentation 명령줄(WMIC) 및 Linux bash를 사용합니다.”
Microsoft는 Andariel에 대한 자체 자문에서 탐지를 우회하는 새로운 기능을 추가하고 새로운 방법을 구현하기 위해 툴셋을 끊임없이 발전시키고 있지만 “상당히 균일한 공격 패턴”을 보인다고 설명했습니다.
“Onyx Sleet은 검증된 공격 체인을 실행하기 위해 다양한 도구를 개발할 수 있는 능력을 갖추고 있어 지속적인 위협이 되며, 특히 방위, 엔지니어링, 에너지 분야 조직과 같이 북한 정보 기관의 관심을 끄는 대상에게 위협이 됩니다.”라고 Windows 제조업체는 언급했습니다.
Microsoft에서 강조한 주목할 만한 도구 중 일부는 다음과 같습니다.
- TigerRAT – 명령 및 제어(C2) 서버에서 키로깅 및 화면 녹화와 같은 명령을 수행하고 기밀 정보를 훔칠 수 있는 맬웨어
- SmallTiger – C++ 백도어
- LightHand – 감염된 장치에 원격으로 액세스할 수 있는 가벼운 백도어
- ValidAlpha(일명 Black RAT) – 임의의 파일을 실행하고, 디렉토리 내용을 나열하고, 파일을 다운로드하고, 스크린샷을 찍고, 임의의 명령을 실행하기 위해 셸을 시작할 수 있는 Go 기반 백도어
- Dora RAT – 역방향 셸 및 파일 다운로드/업로드 기능을 지원하는 “단순 맬웨어 변종”
“그들은 파괴적인 공격을 통해 한국의 금융 기관을 공격하는 것에서 랜섬웨어인 Maui로 알려진 미국의 의료 기관을 공격하는 것으로 발전했지만, 러시아어를 사용하는 다른 사이버 범죄 집단과 같은 규모는 아닙니다.”라고 Secureworks Counter Threat Unit의 위협 연구 및 정부 파트너십 책임자인 알렉스 로즈가 말했습니다.
“이것은 외국 군사 작전에 대한 정보를 수집하고 전략적 기술을 습득하는 주요 임무에 추가됩니다.”
안다리엘은 라자루스 그룹, 블루노로프, 킴수키, 스카크러프트 등의 다른 그룹과 함께 북한 정부와 군대의 지시에 따라 운영되는 수많은 국가 지원 해킹 조직 중 하나에 불과합니다.
로즈는 “수십 년 동안 북한은 국내 산업 부족과 세계적 외교 및 경제적 고립을 메우기 위해 범죄 기업을 통해 불법적인 수익 창출에 관여해 왔습니다.”라고 덧붙였습니다.
“사이버는 정보 수집과 돈벌이에 모두 사용할 수 있는 전략적 역량으로 빠르게 채택되었습니다. 역사적으로 이러한 목표는 여러 그룹이 담당했지만, 지난 몇 년 동안 경계가 모호해졌고 북한을 대신하여 활동하는 많은 사이버 위협 그룹도 돈벌이 활동에 손을 대었습니다.”