2차 북미 정상회담 결과에 대한 특별좌담회 문서파일 미끼로 사용
ESRC, ‘작전명 라운드 테이블(Operation Round Table)’ 명명
본지 취재결과, 한미우호협회에서 특별좌담회 실제 개최 예정으로 드러나
[보안뉴스 원병철 기자] 21일 기존 한수원 공격조직의 새로운 공격이 발견돼 관계자들의 주의가 요구된다. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(ESRC)는 2월 21일 오전 제작된 새로운 지능형지속위협(APT) 공격이 발견됐으며, 최근 이슈인 북미정상회담과 관련된 문서파일을 미끼로 사용하고 있다고 밝혔다.
▲공격에 사용된 HWP 문서[이미지=ESRC]
이번에 발견된 APT 공격은 2014년 한국수력원자력(한수원) 공격에 직접적으로 연결되어 있는 특정 정부가 지원하는 해킹조직(일명 김수키 조직)의 공격 캠페인으로 추정된다. ESRC는 지난 2018년 11월 27일 공개했던 ‘작전명 블랙 리무진(Operation Black Limousine)’의 후속 캠페인으로 확인됐다고 밝혔다.
해당 조직이 사용한 공격벡터는 이메일에 악성 HWP 문서파일을 첨부해 공격 대상자에게 은밀히 전달하는 이른바 스피어피싱(Spear Phishing) 수법이 사용된 것으로 봤다. 이번 공격은 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 2019년 2월 27~28일 베트남 하노이에서 가질 예정인 2차 북미 정상회담 결과에 대한 특별좌담회 문서파일을 미끼로 사용했다는 점에서 주목받고 있다.
ESRC는 좌담회 등의 키워드를 활용해 이번 APT 공격을 ‘작전명 라운드 테이블(Operation Round Table)’로 이름을 지었다.
실제 진행 예정인 특별좌담회 사칭해 공격 메일 발송
이번 공격에 사용된 HWP 파일은 한미우호협회가 2차 미북정상회담 결과에 관한 특별좌담회를 개최하며, 이에 초청하는 내용이 담겨 있다. <보안뉴스>가 확인한 결과, 한미우호협회는 특별좌담회를 실제 준비 중이며, 해당 이메일은 21일 오전에 발송했다. 정황상 이번 공격은 한미우호협회 내부 직원 혹은 협회로부터 초청 메일을 받은 실제 회원에게서 특별좌담회 초청장 내용이 유출되어 공격에 사용된 것으로 보인다.
해당 HWP 문서파일은 내부 코드스트림이 한국시간(KST) 기준으로 ‘2019년 02월 21일 10시 45분(UTC+9)’에 제작된 것을 알 수 있다. 문서파일 내부의 ‘BinData’ 스트림에는 ‘BIN0003.eps’ 포스트스크립트(Post Script) 코드가 포함되어 있으며, 취약점이 발생하는 구간이다. 악성 포스트 스크립트가 작동하게 되면 특정 명령제어(C&C) 서버로 통신을 시도하여, 공격자의 추가적인 명령을 수신하게 된다. 그리고 다음과 같이 정상적인 문서내용을 보여주어 이용자로 하여금 마치 정상적인 내용처럼 속인다.
▲악성 포스트스크립트 코드 화면[이미지=ESRC]
‘BIN0003.eps’ 데이터에 포함되어 있는 악성 포스트스크립트는 다음과 같이 구성되어 있으며, 기존에 널리 사용되던 방식이 그대로 사용되고 있다. 포스트스크립트 코드는 내부에 쉘코드(Shellcode) 부분을 포함하고 있으며, 변환과정을 거치게 된다. 쉘코드 내부에는 공격자가 설정한 명령제어 서버 주소가 포함되어 있는데, 한국의 특정 서버로 통신을 시도한다.
▲쉘코드에 의해 통신을 시도하는 명령제어 서버 코드 화면[이미지=ESRC]
악성코드가 명령제어 서버와 통신을 하게 되면, ‘down.php 명령에 의해 마치 이미지(PNG)로 위장한 암호화된 데이터를 수신하게 된다. 그리고 암호화된 데이터는 복호화를 거쳐 임시 폴더에 ┖~emp.dll┖ 파일명으로 생성되어 추가적인 명령을 수행하게 된다.
특히, 이 공격은 ESRC가 지난 2018년 11월 27일에 공개했던 ‘작전명 블랙 리무진(Operation Black Limousine)’ 캠페인과 공격 TTPs(Tactics, Techniques and Procedures) 유사성이 매우 높다고 밝혔다.
2014년 한수원 공격에서 발견된 바 있는 shellcode 기법과 동일한 것이 남북정상회담, 북미정상회담 등의 내용으로 수행된 APT 공격에서 지속적으로 발견되고 있으며, 가장 최근에는 ‘~emp.exe’, ‘~emp.dll’ 파일명 등으로 사용됐다. 이번 2차 북미정상회담 좌담회 등의 내용을 담고 있던 악성코드의 shellcode 과정에서도 ‘~emp.dll’ 파일명으로 사용된 것이 일치한다.
▲쉘코드 비교 화면[이미지=ESRC]
ESRC는 종합적인 위협 인텔리전스 분석을 통해 국가 차원의 특별 지원을 받는 위협그룹(State-sponsored Actor)의 활동이 꾸준히 증가하고 있다는 것을 확인했다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
ESRC, ‘작전명 라운드 테이블(Operation Round Table)’ 명명
본지 취재결과, 한미우호협회에서 특별좌담회 실제 개최 예정으로 드러나
[보안뉴스 원병철 기자] 21일 기존 한수원 공격조직의 새로운 공격이 발견돼 관계자들의 주의가 요구된다. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(ESRC)는 2월 21일 오전 제작된 새로운 지능형지속위협(APT) 공격이 발견됐으며, 최근 이슈인 북미정상회담과 관련된 문서파일을 미끼로 사용하고 있다고 밝혔다.
▲공격에 사용된 HWP 문서[이미지=ESRC]
이번에 발견된 APT 공격은 2014년 한국수력원자력(한수원) 공격에 직접적으로 연결되어 있는 특정 정부가 지원하는 해킹조직(일명 김수키 조직)의 공격 캠페인으로 추정된다. ESRC는 지난 2018년 11월 27일 공개했던 ‘작전명 블랙 리무진(Operation Black Limousine)’의 후속 캠페인으로 확인됐다고 밝혔다.
해당 조직이 사용한 공격벡터는 이메일에 악성 HWP 문서파일을 첨부해 공격 대상자에게 은밀히 전달하는 이른바 스피어피싱(Spear Phishing) 수법이 사용된 것으로 봤다. 이번 공격은 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 2019년 2월 27~28일 베트남 하노이에서 가질 예정인 2차 북미 정상회담 결과에 대한 특별좌담회 문서파일을 미끼로 사용했다는 점에서 주목받고 있다.
ESRC는 좌담회 등의 키워드를 활용해 이번 APT 공격을 ‘작전명 라운드 테이블(Operation Round Table)’로 이름을 지었다.
실제 진행 예정인 특별좌담회 사칭해 공격 메일 발송
이번 공격에 사용된 HWP 파일은 한미우호협회가 2차 미북정상회담 결과에 관한 특별좌담회를 개최하며, 이에 초청하는 내용이 담겨 있다. <보안뉴스>가 확인한 결과, 한미우호협회는 특별좌담회를 실제 준비 중이며, 해당 이메일은 21일 오전에 발송했다. 정황상 이번 공격은 한미우호협회 내부 직원 혹은 협회로부터 초청 메일을 받은 실제 회원에게서 특별좌담회 초청장 내용이 유출되어 공격에 사용된 것으로 보인다.
해당 HWP 문서파일은 내부 코드스트림이 한국시간(KST) 기준으로 ‘2019년 02월 21일 10시 45분(UTC+9)’에 제작된 것을 알 수 있다. 문서파일 내부의 ‘BinData’ 스트림에는 ‘BIN0003.eps’ 포스트스크립트(Post Script) 코드가 포함되어 있으며, 취약점이 발생하는 구간이다. 악성 포스트 스크립트가 작동하게 되면 특정 명령제어(C&C) 서버로 통신을 시도하여, 공격자의 추가적인 명령을 수신하게 된다. 그리고 다음과 같이 정상적인 문서내용을 보여주어 이용자로 하여금 마치 정상적인 내용처럼 속인다.
▲악성 포스트스크립트 코드 화면[이미지=ESRC]
‘BIN0003.eps’ 데이터에 포함되어 있는 악성 포스트스크립트는 다음과 같이 구성되어 있으며, 기존에 널리 사용되던 방식이 그대로 사용되고 있다. 포스트스크립트 코드는 내부에 쉘코드(Shellcode) 부분을 포함하고 있으며, 변환과정을 거치게 된다. 쉘코드 내부에는 공격자가 설정한 명령제어 서버 주소가 포함되어 있는데, 한국의 특정 서버로 통신을 시도한다.
▲쉘코드에 의해 통신을 시도하는 명령제어 서버 코드 화면[이미지=ESRC]
악성코드가 명령제어 서버와 통신을 하게 되면, ‘down.php 명령에 의해 마치 이미지(PNG)로 위장한 암호화된 데이터를 수신하게 된다. 그리고 암호화된 데이터는 복호화를 거쳐 임시 폴더에 ┖~emp.dll┖ 파일명으로 생성되어 추가적인 명령을 수행하게 된다.
특히, 이 공격은 ESRC가 지난 2018년 11월 27일에 공개했던 ‘작전명 블랙 리무진(Operation Black Limousine)’ 캠페인과 공격 TTPs(Tactics, Techniques and Procedures) 유사성이 매우 높다고 밝혔다.
2014년 한수원 공격에서 발견된 바 있는 shellcode 기법과 동일한 것이 남북정상회담, 북미정상회담 등의 내용으로 수행된 APT 공격에서 지속적으로 발견되고 있으며, 가장 최근에는 ‘~emp.exe’, ‘~emp.dll’ 파일명 등으로 사용됐다. 이번 2차 북미정상회담 좌담회 등의 내용을 담고 있던 악성코드의 shellcode 과정에서도 ‘~emp.dll’ 파일명으로 사용된 것이 일치한다.
▲쉘코드 비교 화면[이미지=ESRC]
ESRC는 종합적인 위협 인텔리전스 분석을 통해 국가 차원의 특별 지원을 받는 위협그룹(State-sponsored Actor)의 활동이 꾸준히 증가하고 있다는 것을 확인했다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
