카스퍼스키는 이전 공격에서 안다리엘이 주로 사용한 윈도우 명령을 실행하는 방식 및 이 공격에 사용된 복호화 루틴에 기초해 공격의 근원을 안다리엘로 제시했다.
안다리엘은 정부의 지원을 받는 사이버 위협 조직으로, 한국 금융보안원에서 라자러스의 하위 조직으로 분류했다. 이들은 금전적 이득과 사이버 스파이 활동에 중점을 두고 주로 한국의 기관을 공격한다. 2017년부터 안다리엘 조직은 공격의 방향을 전환해 한국의 ATM을 해킹하는 등 금전적 이득을 위한 금융기관 공격에 집중하는 양상을 보였다.
APAC 지역 카스퍼스키 GReAT의 박성수 선임 보안 연구원은 “안다리엘과 같은 APT그룹의 공격이 주로사이버 첩보 활동을 위한 공격이지만, 이번 사례에서 볼 수 있듯이 어떤 기업이든 공격 대상이 될 수 있다”며, “따라서 사이버 공격에 대해 경계 태세를 갖추고 가장 취약한 부분인 사용자, 즉 직원의 실수나 방심으로 인한 사이버 보안 침해를 예방해야한다”고 말했다.
카스퍼스키 GReAT는 바이러스토탈에서 앞서 언급한 의심스러운 워드 문서를 발견했다. 문서 제목은 ’참가신청서양식.doc’로 특정 행사 관련 양식을 사용하고 있었으며, 이 문서는 2021년 4월에 발견됐지만 공격의 최종 페이로드로 사용된 악성코드는 2020년 중반부터 안다리엘이 지속적으로 사용했다.
전체 공격 과정을 분석하는 중, 한국의 피해 기업 중 하나에서 마지막 페이로드인 백도어를 이용하여 알려지지 않은 랜섬웨어를 실행하는 것이 확인됐다. 이 랜섬웨어는 커맨드라인을 이용하여 인자를 전달받게 제작되어 있으며, 특정 기준이 충족되면AES-128 CBC 알고리즘을 사용해 파일을 암호화한다. 랜섬웨어 의한 암호화 과정 중 시스템의 핵심 파일은 제외되며, 바탕화면 및 시작 폴더에 비트코인으로 대가를 지불하라는 랜섬노트를 남기기게된다.
안다리엘은 워드문서 뿐만 아니라 PDF 파일로 가장한 다른 감염 방법도 활용했다. 전체 파일을 분석할 수 없었지만 한국 기업이 만든 exPDFReader 프로그램을 이용해 같은 종류의 악성코드 유포를 시도한 것을 확인했다. 이 악성 코드의 감염 경로는 명확하지 않으나 소프트웨어 취약점을 악용했거나 정상적인 파일을 가장하여 사용자가 파일을 열도록 속인 것으로 추정된다. editor@itworld.co.kr