AD ID제어·인튠 활용 엔드포인트에 악성 파워셸 스크립트 배포
[데이터넷] 맨디언트가 북한 배후의 공격그룹 ‘UNC2970’이 미국 기술 기반 기업을 대상으로 사이버 스파이 활동을 하고 있다고 15일 밝혔다. 특히 이들은 마이크로소프트 애저 AD의 ID 제어와 엔드포인트 관리 솔루션 인튠을 활용해 엔드포인트에 악성 파워셸 스크립트를 배포하고 있다. 맨디언트는 이러한 위협에 대응하기 위해 애저 ID 보호 기능 강화와 인튠 액세스를 제한해야 한다고 조언했다.
링크드인 통해 피해자에 접근
맨디언트는 블로그에 ‘스틸링 더 라이트쇼우(Stealing the LIGHTSHOW)’ 포스팅을 통해 UNC2970의 활동을 자세히 공개했는데, 이들은 채용 담당자로 가장한 가짜 계정을 이용해 링크드인에서 타깃에 접근해 스파이 활동을 시도했다.
이들은 프로필 사진, 경력, 자격, 능력 등의 정보를 정교하게 조작한 합법적인 사용자의 링크드인 계정을 운영했다. 잠재적인 피해자와 왓츠앱을 통해 관계를 이어갔으며, 이메일 혹은 왓츠앱 메신저를 통해 페이로드를 전달했다. 링크드인과 왓츠앱을 이용하는 이 방식은 이전에 맨디언트와 마이크로소프트가 공개한 ZINC 공격 방식과 유사하다.
UNC2970이 주로 사용하는 피싱 페이로드는 마이크로소프트 워드 문서의 악성 매크로였다. 원격 템플릿을 삽입해 C2 서버에서 페이로드를 다운로드하고 실행하는 악성행위를 한다. 이들은 채용 내용을 특정 대상에 맞게 조정하면서 공격을 진행했다.
UNC2970이 피해자에게 전달한 ZIP 파일에는 입사 지원자의 기술 평가 테스트를 위한 원격 제어 프로그램이 포함돼 있다. ZIP 파일에는 맨디언트가 LIDSHIFT로 추적하고 있는 트로이 목마를 삽입한 원격 제어 프로그램인 TightVNC 뷰어가 포함된 ISO 파일이 있다. 피해자는 안내에 따라 기술 평가 테스트에 필요한 도구라고 생각하고 TightVNC 뷰어를 설치하기 위해 ISO 파일을 실행한다.
피해자 맞춤형 침투 도구 사용
맨디언트가 발견한 C2 서버는 손상된 워드프레스 기반 사이트였으며, 이는 다른 북한의 공격 그룹의 활동에서도 찾을 수 있는 패턴이다. 분석 당시 원격 템플릿은 C2 서버에 더 이상 존재하지 않았지만 피싱 활동 후 PLANKWALK와 연결된 C2 서버로 비콘을 전송하는 것을 식별했다.
PLANKWALK는 북한 배후 활동가들이 사용하는 백도어로, 맨디언트는 UNC2970이 PLANKWALK 백도어를 배포한 후 마이크로소프트 인튠 등 여러 정상 도구를 활용해 셸 코드 다운로더를 배포한 것을 관찰했다. 원격으로 코드를 실행하기 위해 위협 행위자는 인튠 관리 확장 기능(IME)을 활용해 클라이언트 환경의 다양한 호스트에 맬웨어가 포함된 사용자 정의 파워쉘 스크립트를 업로드한다.
맨디언트는 UNC2970이 작업 과정에서 목표 달성을 위해 맞춤형 사후 침투 도구를 사용하는 것을 확인했다. UNC2970이 사용하는 대표 도구 중 하나인 TOUCHSHIFT를 사용하면 키 로거와 스크린샷 유틸리티에서 완전한 기능을 갖춘 백도어까지 다양한 후속 도구를 활용할 수 있다.
맨디언트는 이러한 공격으로 인한 피해를 막기 위해 강화된 클라우드 전용 계정을 사용하며, 강력한 다중인증, 권한있는 ID 관리, 조건부 액세스 정책, 다중 관리자 승인, 오피스 매크로 차단, 디스크 이미지 자동 마운트 비활성화, 파워셸 로깅 향상 등의 조치를 취해야 한다고 조언했다.
