국가지원 해커그룹, 최근 국내 대북관련 종사자 노린 다양한 APT 공격 감행
ESRC, 공격 그룹 추적하다 암호화폐나 악성 프로그램 개발 등의 활동 발견
[보안뉴스 원병철 기자] 최근 한미정상회담을 겨냥한 APT 공격이 발견됐다. 특히, 이번 사이버공격의 공격자들을 추적한 결과 단순한 APT 공격을 넘어 암호화폐와 악성 프로그램 개발 등 외화벌이에 나선 것으로 확인돼 관련 기관 및 전문가들의 주목을 받고 있다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 ‘스모크 스크린(Smoke Screen)’이란 이름의 APT 공격을 발견하고 그 배후로 한수원 공격의 배후였던 조직(김수키 그룹, Kimsuky)을 지목했다.
▲캠페인 스모크 스크린 흐름도[자료=ESRC]
이번 공격에서 주목할 점은 이들이 APT 공격은 물론 해외 프로그램 개발사이트에 등록해 사행성 도박 프로그램이나 악성 프로그램을 제작해 외화벌이에 나섰다는 점이다. 특히, 암호화폐 거래에 관심을 보임으로써 최근 국내외 은행과 금융정보를 노린 공격(보안뉴스 1월 17일 ‘라자루스 이어 김수키? 북한 추정 해커그룹, 외화벌이 ‘올인’ 기사)을 펼친 김수키 그룹의 행보를 짐작할 수 있다.
한국 대북관련 종사자 노린 스피어 피싱 공격
ESRC에서는 한국의 대북관련 분야에 종사하는 인물을 대상으로 4월 11일 기준 스피어 피싱(Spear Phishing) 공격이 수행된 것을 발견했다.
▲한미정상회담 관련 정부 관계자 발언 내용으로 사칭한 공격 사진[자료=ESRC]
이는 지난 4월 3일 ‘최근 한반도 관련 주요국 동향’이나 ‘3.17 미국의 편타곤 비밀 국가안보회의’란 내용으로 전파된 ‘스텔스 파워(Operation Stealth Power)’ 작전의 APT 공격 연장 활동으로 드러났으며, 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일 조직으로 밝혀졌다.
공격자는 ‘한미정상회담 관련 정부 관계자 발언’이란 제목으로 수신자를 현혹했으며, ‘한미정상회담 관련 정부 관계자 발언.hwp’란 이름의 악성 파일이 첨부되어 있다. hwp 악성 문서 파일은 암호화된 상태로 유포됐으며, 암호를 입력하지 않을 경우 EPS 취약점이 작동하지 않게 된다. 또 문서 파일 취약점이 작동하면, 한국의 특정 명령제어(C&C) 서버와 통신을 시도하고 ‘first.hta’ 파일을 로드한다. 그리고 HTML 응용 프로그램 호스트 내부에 포함되어 있는 VBScript 코드가 실행된다.
한편, 지난 2019년 4월 1일 오후 5시 15분(KST)에 만들어진 ‘TaskForceReport.doc’란 이름의 악성 문서 파일이 해외에서도 관찰됐다. ESRC는 이 악성 DOC 문서 파일이 최근 한국 및 미국 등지에서 발생한 특정 침해사고와 연계되는 정황을 포착했고, 해당 위협 조직이 국내외 맞춤형 표적공격에 적극 가담하고 있을 것으로 풀이했다. 특히, 흥미로운 점은 이 APT 공격에 사용된 악성코드 시리즈가 한국에서 발견된 ‘김수키 조직, 스텔스 파워 침묵 작전(2019년 4월 30일)’과 베이비 캠페인 시리즈인 거대 위협으로 다가온, ‘자이언트 베이비(2019년 3월 28일)’ 등과 직간접적으로 연결된다는 점이라고 설명했다.
지난 3월 말부터 4월 초까지 한국에서 발견된 악성 HWP 문서파일들은 모두 동일한 취약점 공격 기법이 활용됐으며, 문서파일을 작성한 계정명도 ‘Tom’으로 일치하고 있다.
▲HWP 악성 문서 파일 메타데이터 화면[자료=ESRC]
위장전술과 연막작전의 귀재, 캠페인 스모크 스크린 배경
TaskForceReport.doc 악성 파일은 해외에서 먼저 보고됐지만, 문서 자체는 한국어 기반으로 제작됐으며, 유사한 변종 형태가 다수 존재한다. 악성 파일 제작자는 ‘windowsmb’, ‘JamFedura’, ‘Aji’, ‘DefaultAcount’, ‘yeri’, ‘Roberts Brad’ 등의 독특한 윈도우즈 계정 등을 사용했고, 비트코인 등을 거래하거나 사행성 도박게임, 암호화폐 관련 프로그램 개발에 참여하고 있는 것도 확인됐다.
특히, 일부 계정의 경우 한국의 카카오톡(Kakao Talk)에도 등록되어 있으며, 텔레그램(Telegram), 스카이프(Skype) 등의 메신저 서비스를 이용하고 있다.
ESRC는 종합적 판단을 통해 이번 APT 공격 배후에 ‘특정 정부의 후원을 받는 조직(state-sponsored actor)’이 있다면서, 이들이 한국어, 영어 등을 자유자재로 구사하며, 외국인 가짜 프로필 사진으로 변장해 은밀히 활동하는 점을 착안해 ‘캠페인 스모크 스크린(Campaign Smoke Screen)’으로 명명했다.
2014년 한수원 해킹 배후로 분류된 해당 위협 조직이 한국과 미국 등의 APT 공격에도 가담하고 있는 가운데 한국에서는 HWP 문서파일 취약점을 이용하고, 해외에서는 DOC 문서파일 취약점을 활용해 맞춤형 표적공격을 수행하는 것이 드러났다.
DOC기반 APT 공격 전략 전술 및 위협 벡터 분석
2019년 04월 01일 제작된 ‘TaskForceReport.doc’(MD5 : d400adcd06e0a07549e2465c9c500c45) 악성 문서파일은 다음 주소를 통해 유포됐다.
- tdalpacafarm[.]com/wp-includes/Text/Diff/common/doc.php
그런데 이 서버는 이미 ‘Oct_Bld_full_view.docm’(MD5 : 1a6f9190e7c53cd4e9ca4532547131af) 악성 문서가 C&C 서버로 사용된 바 있고, Palo Alto Networks Unit 42팀에서 ‘New BabyShark Malware Targets U.S. National Security Think Tanks’란 제목으로 보고한 바 있다.
당시에 사용된 VBA 코드에서 ‘Vkggy0.hta’ 코드가 정상적으로 로딩되면, 내부에 존재하는 VBScript 명령에 의해 HTTP GET 응답을 받고 추가적인 파워쉘 명령들이 연이어 실행된다.
이번에 발견된 악성 문서 파일 역시 동일한 시퀀스 흐름을 가지고 있다. 먼저 악성 문서 파일이 실행되면 액티브 콘텐츠 실행되지 않도록 보안경고 메시지가 보이는데, 이때 마치 낮은 MS 오피스 버전 사용으로 인해 내용이 보이지 않는 것처럼 현혹해 [콘텐츠 사용] 버튼을 클릭하도록 유도한다.
악성 문서 내부에는 ‘activeX1.bin’부터 ‘activeX10.bin’ 파일이 포함되어 있고, 그 중 ‘activeX2.bin’ 파일에 통신 호스트 주소가 포함되어 있으며, HTA 명령과 조건에 의해 추가적인 C&C 서버로 통신을 시도하게 된다.
TaskForceReport.doc(MD5 : 0f77143ce98d0b9f69c802789e3b1713) 파일과 동일한 이름으로 유포된 다른 변종 중에는 지난 3월에 유포된 이력이 존재하는데, 이때 사용된 C&C 도메인은 christinadudley[.]com 사이트가 사용됐다. 당시 최종적으로 유포된 ┖exe.gif┖ 파일은 BASE64 코드로 인코딩되어 있는 상태로 디코딩을 거치면, 32비트 EXE 형식의 악성코드로 변환된다. 디코딩된 EXE 파일은 EGIS Co, Ltd, 디지털 서명이 포함되어 있는데, 이 서명은 과거 한국의 여려 침해사고에서 악용된 바 있다.
DOC 공격벡터에 사용된 HTA 스크립트를 살펴보면, 지난 3월 31일과 4월 1일 한국에서 발생했던 HWP 악성 문서 기반의 ‘스텔스 파워(Operation Stealth Power)’ 위협 사례와 이번 ‘스모크 스크린(Campaign Smoke Screen)’ 스크립트 형식이 유사하다는 것을 알 수 있다. 그리고 HWP 악성 문서로 설치된 파워쉘 기반 키로깅 기능의 함수(function Start-KeyLogger)도 DOC 악성문서 시리즈와 동일하게 사용됐다.
위협 조직이 한국 대상 APT 공격에서는 HWP 문서 취약점을 사용하고, 해외를 대상으로 삼을 때는 악성 DOC 문서를 활용한 특징이 존재한다.
▲한국과 해외에서 발견된 악성 스크립트 비교 화면[자료=ESRC]
특히, C&C 서버와 통신할 때 사용되는 ‘expres.php?op=1’, ‘cow.php?op=1’ 파일명과 파라미터뿐만 아니라, 파워쉘이 사용하는 함수 스타일도 매우 유사한 것을 알 수 있다. 또한, 정보 유출에 사용된 ‘upload.php’ 파일명이 오버랩되며, HWP 취약점이 사용된 C&C 서버는 한국, DOC 취약점이 쓰인 C2는 중간에 ‘kr’ 하위주소가 포함되어 있다. 그리고 ‘VBAWarnings’ 레지스트리 키 등록 부분과 ‘ttmp.log’ 로그 파일명 등도 정확히 일치되는 것을 확인했다.
ESRC는 여러 정황상 단순 우연의 일치일 가능성은 희박해 보이고, 서버사이드 기반의 공격 환경까지 유사하게 사용한 것으로 보아, 한국에서 발견된 HWP 악성문서와 해외에서 보고된 DOC 악성문서가 동일한 위협조직에 의해 수행된 APT 공격으로 판단했다.
휴먼 위협 인텔리전스 기반의 공격 배후
ESRC는 seoulhobi[.]biz(192.186.142[.]74) 도메인의 등록자를 조사하는 과정에서 공격자가 ‘snow8949@hotmail.com’ 이메일을 사용해 MonoVM 호스팅을 활용하고 있다는 것을 확인했다. 특히, ESRC는 동일하지는 않지만, 2018년 한국 침해사고에서 ‘snow+숫자’ 조합의 이메일 아이디를 사용한 경우가 있던 것을 파악하고 좀 더 자세한 조사에 들어갔다. 이들은 한국의 포털사와 유사하게 피싱용 도메인을 만들어 사용하는데, 등록정보에 국가를 일본으로 설정하고, 이름을 ‘Jane Jhone’ 등을 사용했다.
우선 ESRC는 지난 2월 경 공격자가 사용한 ‘JamFedura’ 계정에 주목할 필요가 있다고 설명했다. 이 계정은 트위터(Twitter), 텔레그램(Telegram), 크립토랜서(Cryptolancer) 등 서로 다른 사이트에 유사한 형태로 등록된 것을 확인할 수 있다.
트위터 ‘@JFedura’ 계정은 위치가 미국으로 설정되어 있으며 2017년 12월 가입했다. 자신의 소개란에 일부 영문 오타가 존재하지만, ‘암호화폐 개발자’ 등이 언급되어 있다. 그리고 암호화폐 분야 개발자를 프리랜서 형태로 연결해 주는 크립토랜서의 ‘jamfedura’ 계정은 2019년 2월 가입했으며, 역시 자신을 ‘암호화폐 개발자’로 소개하고 있는데, 위치가 중국으로 설정되어 있다. 트위터에 올려진 내용을 살펴보면, 주로 암호화폐 거래 관련 내용을 리트윗하거나 일부 계정으로 짧은 영어 트윗만 보낸 기록이 남아 있다.
한편, 한국의 프로그램 개발회사와 프리랜서 개발자를 이어주는 온라인 아웃소싱 플랫폼인 위시켓(Wishket) 사이트에서 트위터와 동일한 아이디와 프로필 사진으로 활동 중인 것으로 밝혀졌다.
더불어 2017년 08월에는 해외 비트코인 포럼에도 가입해 2018년 1월까지 활동한 이력도 포착됐다. 위시켓의 자기 소개란에는 8년간의 개발 경험을 가지고 있으며, 암호화폐 개발에 적극 참여하고 있다는 내용과 함께 ‘게임 사이트 개발’, ‘가상 화폐 채굴 프로그램 개발’, ‘가상 화폐 거래 사이트’ 등의 포트폴리오가 등록되어 있다.
비트코인 포럼에는 여러 가지 활동내용이 포함되어 있는데, 그 중에 사용 중인 이메일 주소가 ‘jamshine1993@hotmail.com’으로 발견됐고, 이 계정은 ‘om*****@hotmail.com’으로 연결되어 있다.
2018년 5월 공개된 Cisco Talos 팀의 ┖NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea┖ 분석자료와 연결되는 변종이 이번 스모크 스크린 캠페인과 강력히 연결되고 있다. 탈로스 팀은 ‘NavRAT’ 유형을 ‘Group123(aka Geumseong121, RedEyes)’ 조직 연계 가능성을 조심스럽게 의심한 바 있는데, ESRC는 해당 시리즈가 2014년 당시 한수원 공격에 사용된 HWP 취약점 쉘코드와 정확히 일치한다는 것을 검증했다고 밝혔다. 더불어 스모크 스크린 공격거점으로 활용된 특정 아이피 대역과 전형적인 교란전술 등이 최근 오퍼레이션들과 오버랩되고 있다는 점을 근거로 면밀한 조사를 수행하고 있다고 덧붙였다.
다양한 자체 분석 데이터와 분류 기준에 따라 스모크 스크린 APT 캠페인의 배후에 ‘금성121(Geumseong121)’ 조직보다 한수원을 위협했던 조직 김수키가 연계된 것으로 믿고 있다고도 설명했다. 다만, 두 조직 간의 침해지표에 공통 고리가 존재했던 사례가 몇 차례 발견된 바 있어 상호 협력하거나 조직개편, 인력 체계 이동 가능성도 배제할 수는 없다고 밝혔다.
ESRC는 스모크 스크린 배후를 조사하는 과정에서 NavRAT 시리즈로 명명된 악성파일 변종 중에 ‘jamshine1993@hotmail.com’ 이메일 계정으로 통신을 시도한 사례를 발견했다. 통신에 사용된 아이디는 ‘tiger199392’이며, 구글 업데이트 프로그램처럼 위장되어 있고, ‘Jamshine1993@hotmail.com’ 주소로 감염자 정보를 전송한다. 이번 NavRAT 유형의 악성파일은 2016년 보고된 바 있는 김수키(Kimsuky) 시리즈의 HWP 취약점 코드(MD5 : c94e5da189bf166fc4a2670685a796a3)와 일부 유사한 계정(hni)이 포함된 것도 발견됐다.
ESRC에서는 텔레그램으로 사용된 ┖jamfedura0293┖ 계정이 한글로 운영되는 필리핀 비트코인 거래사이트 ┖비트 마닐라┖에 2019년 1월 4일 가입하고, 한글 ‘코인짱1985’란 이름으로 활동한 것을 발견했다. 코인짱1985 계정은 여러 사람들의 글에 텔레그램으로 연락을 유도하는 댓글을 등록해 은밀하게 거래를 진행하고 있었다. 특히, 지난해 12월 23일 올려진 1500 비트코인 판매관련 글에 2019년 1월 4일 23시 58분에 댓글을 달기도 했다.
▲aji9170, aji199293 비교 화면[자료=ESRC]
ESRC는 텔레그램과 동일한 프로필 사진을 사용하는 여러 계정들도 발견했다. 흥미롭게도 악성코드가 사용했던 ‘tiger1993’ 계정이 카카오톡에 ‘coinchange’란 이름으로 등록한 것을 확인했다. 그런데 이 계정의 프로필 사진이 텔레그램 ‘@jamfedura0293’ 이미지와 정확히 일치했다. 서로 다른 사람이 한국의 카카오톡 메신저와 텔레그램에 동일한 프로필 사진으로 활동한다는 것은 우연의 일치라고 보기에는 현실적으로 어려워 보인다고 ESRC는 강조했다.
그리고 이와 동일한 프로필 사진이 프로그램 개발자를 연결해 주는 프리랜서 사이트에서도 발견됐다. 프리랜서 사이트에 등록된 ‘aji9170’ 계정은 한국으로 등록되어 있고, 기존 사례와 동일하게 암호화폐 개발자 정보로 등록되어 있다. ‘aji199293’ 계정은 국적이 미국으로 등록되어 있지만, 초기에는 다른 아이디로 활동하며, 국적은 한국으로 설정된 경우도 확인됐다. 이전에는 사행성 온라인 게임 개발에 한글로 참여한 모습도 포착됐고, PDF Exploit 외주제작에 개발이 가능하다는 글을 등록하기도 했다. 악성 파일 제작까지도 참여한 증거가 포착된 것이다. 그리고 한국어 국적으로 등록됐던 ‘Migel M’ 계정은 프로필 사진은 ‘aji199293’이랑 동일하고, 국적이 미국에서 한국으로 다르게 설정되어 있다. ESRC에서는 해당 계정이 서로 다른 것인지 비교해 본 결과, 동일한 사용자가 초기에 ┖Migel M┖으로 사용하다가 나중에 국적과 아이디를 모두 변경한 것으로 확인했다고 밝혔다.
ESRC는 국가차원의 사이버위협 가담자들이 APT 공격뿐만 아니라, 실제 프로그램 주문개발 사이트를 통해 다양한 소프트웨어 하청을 받아 외화벌이에도 적극 참여하고 있다는 것을 확인했다. 특히, 암호화폐 거래 및 마이닝 프로그램에 관심이 많았고, 사행성 도박 게임이나 악성프로그램 개발 대행을 하고 있다는 사실도 목격됐다. 또한, 이 과정에서 카카오톡, 스카이프, 텔레그램 등의 메신저 서비스를 통해 은밀하게 거래 사실을 숨겨왔던 것도 새롭게 드러났다. 자신의 신분을 위장한 채, 외국인처럼 행세하는 ‘스모크 스크린’ 캠페인 분석을 통해 APT 위협이 다양한 형태로 진화를 거듭하고 있다고 ESRC는 강조했다.
[원병철 기자(boanone@boannews.com)]
ESRC, 공격 그룹 추적하다 암호화폐나 악성 프로그램 개발 등의 활동 발견
[보안뉴스 원병철 기자] 최근 한미정상회담을 겨냥한 APT 공격이 발견됐다. 특히, 이번 사이버공격의 공격자들을 추적한 결과 단순한 APT 공격을 넘어 암호화폐와 악성 프로그램 개발 등 외화벌이에 나선 것으로 확인돼 관련 기관 및 전문가들의 주목을 받고 있다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 ‘스모크 스크린(Smoke Screen)’이란 이름의 APT 공격을 발견하고 그 배후로 한수원 공격의 배후였던 조직(김수키 그룹, Kimsuky)을 지목했다.
▲캠페인 스모크 스크린 흐름도[자료=ESRC]
이번 공격에서 주목할 점은 이들이 APT 공격은 물론 해외 프로그램 개발사이트에 등록해 사행성 도박 프로그램이나 악성 프로그램을 제작해 외화벌이에 나섰다는 점이다. 특히, 암호화폐 거래에 관심을 보임으로써 최근 국내외 은행과 금융정보를 노린 공격(보안뉴스 1월 17일 ‘라자루스 이어 김수키? 북한 추정 해커그룹, 외화벌이 ‘올인’ 기사)을 펼친 김수키 그룹의 행보를 짐작할 수 있다.
한국 대북관련 종사자 노린 스피어 피싱 공격
ESRC에서는 한국의 대북관련 분야에 종사하는 인물을 대상으로 4월 11일 기준 스피어 피싱(Spear Phishing) 공격이 수행된 것을 발견했다.
▲한미정상회담 관련 정부 관계자 발언 내용으로 사칭한 공격 사진[자료=ESRC]
이는 지난 4월 3일 ‘최근 한반도 관련 주요국 동향’이나 ‘3.17 미국의 편타곤 비밀 국가안보회의’란 내용으로 전파된 ‘스텔스 파워(Operation Stealth Power)’ 작전의 APT 공격 연장 활동으로 드러났으며, 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일 조직으로 밝혀졌다.
공격자는 ‘한미정상회담 관련 정부 관계자 발언’이란 제목으로 수신자를 현혹했으며, ‘한미정상회담 관련 정부 관계자 발언.hwp’란 이름의 악성 파일이 첨부되어 있다. hwp 악성 문서 파일은 암호화된 상태로 유포됐으며, 암호를 입력하지 않을 경우 EPS 취약점이 작동하지 않게 된다. 또 문서 파일 취약점이 작동하면, 한국의 특정 명령제어(C&C) 서버와 통신을 시도하고 ‘first.hta’ 파일을 로드한다. 그리고 HTML 응용 프로그램 호스트 내부에 포함되어 있는 VBScript 코드가 실행된다.
한편, 지난 2019년 4월 1일 오후 5시 15분(KST)에 만들어진 ‘TaskForceReport.doc’란 이름의 악성 문서 파일이 해외에서도 관찰됐다. ESRC는 이 악성 DOC 문서 파일이 최근 한국 및 미국 등지에서 발생한 특정 침해사고와 연계되는 정황을 포착했고, 해당 위협 조직이 국내외 맞춤형 표적공격에 적극 가담하고 있을 것으로 풀이했다. 특히, 흥미로운 점은 이 APT 공격에 사용된 악성코드 시리즈가 한국에서 발견된 ‘김수키 조직, 스텔스 파워 침묵 작전(2019년 4월 30일)’과 베이비 캠페인 시리즈인 거대 위협으로 다가온, ‘자이언트 베이비(2019년 3월 28일)’ 등과 직간접적으로 연결된다는 점이라고 설명했다.
지난 3월 말부터 4월 초까지 한국에서 발견된 악성 HWP 문서파일들은 모두 동일한 취약점 공격 기법이 활용됐으며, 문서파일을 작성한 계정명도 ‘Tom’으로 일치하고 있다.
▲HWP 악성 문서 파일 메타데이터 화면[자료=ESRC]
위장전술과 연막작전의 귀재, 캠페인 스모크 스크린 배경
TaskForceReport.doc 악성 파일은 해외에서 먼저 보고됐지만, 문서 자체는 한국어 기반으로 제작됐으며, 유사한 변종 형태가 다수 존재한다. 악성 파일 제작자는 ‘windowsmb’, ‘JamFedura’, ‘Aji’, ‘DefaultAcount’, ‘yeri’, ‘Roberts Brad’ 등의 독특한 윈도우즈 계정 등을 사용했고, 비트코인 등을 거래하거나 사행성 도박게임, 암호화폐 관련 프로그램 개발에 참여하고 있는 것도 확인됐다.
특히, 일부 계정의 경우 한국의 카카오톡(Kakao Talk)에도 등록되어 있으며, 텔레그램(Telegram), 스카이프(Skype) 등의 메신저 서비스를 이용하고 있다.
ESRC는 종합적 판단을 통해 이번 APT 공격 배후에 ‘특정 정부의 후원을 받는 조직(state-sponsored actor)’이 있다면서, 이들이 한국어, 영어 등을 자유자재로 구사하며, 외국인 가짜 프로필 사진으로 변장해 은밀히 활동하는 점을 착안해 ‘캠페인 스모크 스크린(Campaign Smoke Screen)’으로 명명했다.
2014년 한수원 해킹 배후로 분류된 해당 위협 조직이 한국과 미국 등의 APT 공격에도 가담하고 있는 가운데 한국에서는 HWP 문서파일 취약점을 이용하고, 해외에서는 DOC 문서파일 취약점을 활용해 맞춤형 표적공격을 수행하는 것이 드러났다.
DOC기반 APT 공격 전략 전술 및 위협 벡터 분석
2019년 04월 01일 제작된 ‘TaskForceReport.doc’(MD5 : d400adcd06e0a07549e2465c9c500c45) 악성 문서파일은 다음 주소를 통해 유포됐다.
- tdalpacafarm[.]com/wp-includes/Text/Diff/common/doc.php
그런데 이 서버는 이미 ‘Oct_Bld_full_view.docm’(MD5 : 1a6f9190e7c53cd4e9ca4532547131af) 악성 문서가 C&C 서버로 사용된 바 있고, Palo Alto Networks Unit 42팀에서 ‘New BabyShark Malware Targets U.S. National Security Think Tanks’란 제목으로 보고한 바 있다.
당시에 사용된 VBA 코드에서 ‘Vkggy0.hta’ 코드가 정상적으로 로딩되면, 내부에 존재하는 VBScript 명령에 의해 HTTP GET 응답을 받고 추가적인 파워쉘 명령들이 연이어 실행된다.
이번에 발견된 악성 문서 파일 역시 동일한 시퀀스 흐름을 가지고 있다. 먼저 악성 문서 파일이 실행되면 액티브 콘텐츠 실행되지 않도록 보안경고 메시지가 보이는데, 이때 마치 낮은 MS 오피스 버전 사용으로 인해 내용이 보이지 않는 것처럼 현혹해 [콘텐츠 사용] 버튼을 클릭하도록 유도한다.
악성 문서 내부에는 ‘activeX1.bin’부터 ‘activeX10.bin’ 파일이 포함되어 있고, 그 중 ‘activeX2.bin’ 파일에 통신 호스트 주소가 포함되어 있으며, HTA 명령과 조건에 의해 추가적인 C&C 서버로 통신을 시도하게 된다.
TaskForceReport.doc(MD5 : 0f77143ce98d0b9f69c802789e3b1713) 파일과 동일한 이름으로 유포된 다른 변종 중에는 지난 3월에 유포된 이력이 존재하는데, 이때 사용된 C&C 도메인은 christinadudley[.]com 사이트가 사용됐다. 당시 최종적으로 유포된 ┖exe.gif┖ 파일은 BASE64 코드로 인코딩되어 있는 상태로 디코딩을 거치면, 32비트 EXE 형식의 악성코드로 변환된다. 디코딩된 EXE 파일은 EGIS Co, Ltd, 디지털 서명이 포함되어 있는데, 이 서명은 과거 한국의 여려 침해사고에서 악용된 바 있다.
DOC 공격벡터에 사용된 HTA 스크립트를 살펴보면, 지난 3월 31일과 4월 1일 한국에서 발생했던 HWP 악성 문서 기반의 ‘스텔스 파워(Operation Stealth Power)’ 위협 사례와 이번 ‘스모크 스크린(Campaign Smoke Screen)’ 스크립트 형식이 유사하다는 것을 알 수 있다. 그리고 HWP 악성 문서로 설치된 파워쉘 기반 키로깅 기능의 함수(function Start-KeyLogger)도 DOC 악성문서 시리즈와 동일하게 사용됐다.
위협 조직이 한국 대상 APT 공격에서는 HWP 문서 취약점을 사용하고, 해외를 대상으로 삼을 때는 악성 DOC 문서를 활용한 특징이 존재한다.
▲한국과 해외에서 발견된 악성 스크립트 비교 화면[자료=ESRC]
특히, C&C 서버와 통신할 때 사용되는 ‘expres.php?op=1’, ‘cow.php?op=1’ 파일명과 파라미터뿐만 아니라, 파워쉘이 사용하는 함수 스타일도 매우 유사한 것을 알 수 있다. 또한, 정보 유출에 사용된 ‘upload.php’ 파일명이 오버랩되며, HWP 취약점이 사용된 C&C 서버는 한국, DOC 취약점이 쓰인 C2는 중간에 ‘kr’ 하위주소가 포함되어 있다. 그리고 ‘VBAWarnings’ 레지스트리 키 등록 부분과 ‘ttmp.log’ 로그 파일명 등도 정확히 일치되는 것을 확인했다.
ESRC는 여러 정황상 단순 우연의 일치일 가능성은 희박해 보이고, 서버사이드 기반의 공격 환경까지 유사하게 사용한 것으로 보아, 한국에서 발견된 HWP 악성문서와 해외에서 보고된 DOC 악성문서가 동일한 위협조직에 의해 수행된 APT 공격으로 판단했다.
휴먼 위협 인텔리전스 기반의 공격 배후
ESRC는 seoulhobi[.]biz(192.186.142[.]74) 도메인의 등록자를 조사하는 과정에서 공격자가 ‘snow8949@hotmail.com’ 이메일을 사용해 MonoVM 호스팅을 활용하고 있다는 것을 확인했다. 특히, ESRC는 동일하지는 않지만, 2018년 한국 침해사고에서 ‘snow+숫자’ 조합의 이메일 아이디를 사용한 경우가 있던 것을 파악하고 좀 더 자세한 조사에 들어갔다. 이들은 한국의 포털사와 유사하게 피싱용 도메인을 만들어 사용하는데, 등록정보에 국가를 일본으로 설정하고, 이름을 ‘Jane Jhone’ 등을 사용했다.
우선 ESRC는 지난 2월 경 공격자가 사용한 ‘JamFedura’ 계정에 주목할 필요가 있다고 설명했다. 이 계정은 트위터(Twitter), 텔레그램(Telegram), 크립토랜서(Cryptolancer) 등 서로 다른 사이트에 유사한 형태로 등록된 것을 확인할 수 있다.
트위터 ‘@JFedura’ 계정은 위치가 미국으로 설정되어 있으며 2017년 12월 가입했다. 자신의 소개란에 일부 영문 오타가 존재하지만, ‘암호화폐 개발자’ 등이 언급되어 있다. 그리고 암호화폐 분야 개발자를 프리랜서 형태로 연결해 주는 크립토랜서의 ‘jamfedura’ 계정은 2019년 2월 가입했으며, 역시 자신을 ‘암호화폐 개발자’로 소개하고 있는데, 위치가 중국으로 설정되어 있다. 트위터에 올려진 내용을 살펴보면, 주로 암호화폐 거래 관련 내용을 리트윗하거나 일부 계정으로 짧은 영어 트윗만 보낸 기록이 남아 있다.
한편, 한국의 프로그램 개발회사와 프리랜서 개발자를 이어주는 온라인 아웃소싱 플랫폼인 위시켓(Wishket) 사이트에서 트위터와 동일한 아이디와 프로필 사진으로 활동 중인 것으로 밝혀졌다.
더불어 2017년 08월에는 해외 비트코인 포럼에도 가입해 2018년 1월까지 활동한 이력도 포착됐다. 위시켓의 자기 소개란에는 8년간의 개발 경험을 가지고 있으며, 암호화폐 개발에 적극 참여하고 있다는 내용과 함께 ‘게임 사이트 개발’, ‘가상 화폐 채굴 프로그램 개발’, ‘가상 화폐 거래 사이트’ 등의 포트폴리오가 등록되어 있다.
비트코인 포럼에는 여러 가지 활동내용이 포함되어 있는데, 그 중에 사용 중인 이메일 주소가 ‘jamshine1993@hotmail.com’으로 발견됐고, 이 계정은 ‘om*****@hotmail.com’으로 연결되어 있다.
2018년 5월 공개된 Cisco Talos 팀의 ┖NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea┖ 분석자료와 연결되는 변종이 이번 스모크 스크린 캠페인과 강력히 연결되고 있다. 탈로스 팀은 ‘NavRAT’ 유형을 ‘Group123(aka Geumseong121, RedEyes)’ 조직 연계 가능성을 조심스럽게 의심한 바 있는데, ESRC는 해당 시리즈가 2014년 당시 한수원 공격에 사용된 HWP 취약점 쉘코드와 정확히 일치한다는 것을 검증했다고 밝혔다. 더불어 스모크 스크린 공격거점으로 활용된 특정 아이피 대역과 전형적인 교란전술 등이 최근 오퍼레이션들과 오버랩되고 있다는 점을 근거로 면밀한 조사를 수행하고 있다고 덧붙였다.
다양한 자체 분석 데이터와 분류 기준에 따라 스모크 스크린 APT 캠페인의 배후에 ‘금성121(Geumseong121)’ 조직보다 한수원을 위협했던 조직 김수키가 연계된 것으로 믿고 있다고도 설명했다. 다만, 두 조직 간의 침해지표에 공통 고리가 존재했던 사례가 몇 차례 발견된 바 있어 상호 협력하거나 조직개편, 인력 체계 이동 가능성도 배제할 수는 없다고 밝혔다.
ESRC는 스모크 스크린 배후를 조사하는 과정에서 NavRAT 시리즈로 명명된 악성파일 변종 중에 ‘jamshine1993@hotmail.com’ 이메일 계정으로 통신을 시도한 사례를 발견했다. 통신에 사용된 아이디는 ‘tiger199392’이며, 구글 업데이트 프로그램처럼 위장되어 있고, ‘Jamshine1993@hotmail.com’ 주소로 감염자 정보를 전송한다. 이번 NavRAT 유형의 악성파일은 2016년 보고된 바 있는 김수키(Kimsuky) 시리즈의 HWP 취약점 코드(MD5 : c94e5da189bf166fc4a2670685a796a3)와 일부 유사한 계정(hni)이 포함된 것도 발견됐다.
ESRC에서는 텔레그램으로 사용된 ┖jamfedura0293┖ 계정이 한글로 운영되는 필리핀 비트코인 거래사이트 ┖비트 마닐라┖에 2019년 1월 4일 가입하고, 한글 ‘코인짱1985’란 이름으로 활동한 것을 발견했다. 코인짱1985 계정은 여러 사람들의 글에 텔레그램으로 연락을 유도하는 댓글을 등록해 은밀하게 거래를 진행하고 있었다. 특히, 지난해 12월 23일 올려진 1500 비트코인 판매관련 글에 2019년 1월 4일 23시 58분에 댓글을 달기도 했다.
▲aji9170, aji199293 비교 화면[자료=ESRC]
ESRC는 텔레그램과 동일한 프로필 사진을 사용하는 여러 계정들도 발견했다. 흥미롭게도 악성코드가 사용했던 ‘tiger1993’ 계정이 카카오톡에 ‘coinchange’란 이름으로 등록한 것을 확인했다. 그런데 이 계정의 프로필 사진이 텔레그램 ‘@jamfedura0293’ 이미지와 정확히 일치했다. 서로 다른 사람이 한국의 카카오톡 메신저와 텔레그램에 동일한 프로필 사진으로 활동한다는 것은 우연의 일치라고 보기에는 현실적으로 어려워 보인다고 ESRC는 강조했다.
그리고 이와 동일한 프로필 사진이 프로그램 개발자를 연결해 주는 프리랜서 사이트에서도 발견됐다. 프리랜서 사이트에 등록된 ‘aji9170’ 계정은 한국으로 등록되어 있고, 기존 사례와 동일하게 암호화폐 개발자 정보로 등록되어 있다. ‘aji199293’ 계정은 국적이 미국으로 등록되어 있지만, 초기에는 다른 아이디로 활동하며, 국적은 한국으로 설정된 경우도 확인됐다. 이전에는 사행성 온라인 게임 개발에 한글로 참여한 모습도 포착됐고, PDF Exploit 외주제작에 개발이 가능하다는 글을 등록하기도 했다. 악성 파일 제작까지도 참여한 증거가 포착된 것이다. 그리고 한국어 국적으로 등록됐던 ‘Migel M’ 계정은 프로필 사진은 ‘aji199293’이랑 동일하고, 국적이 미국에서 한국으로 다르게 설정되어 있다. ESRC에서는 해당 계정이 서로 다른 것인지 비교해 본 결과, 동일한 사용자가 초기에 ┖Migel M┖으로 사용하다가 나중에 국적과 아이디를 모두 변경한 것으로 확인했다고 밝혔다.
ESRC는 국가차원의 사이버위협 가담자들이 APT 공격뿐만 아니라, 실제 프로그램 주문개발 사이트를 통해 다양한 소프트웨어 하청을 받아 외화벌이에도 적극 참여하고 있다는 것을 확인했다. 특히, 암호화폐 거래 및 마이닝 프로그램에 관심이 많았고, 사행성 도박 게임이나 악성프로그램 개발 대행을 하고 있다는 사실도 목격됐다. 또한, 이 과정에서 카카오톡, 스카이프, 텔레그램 등의 메신저 서비스를 통해 은밀하게 거래 사실을 숨겨왔던 것도 새롭게 드러났다. 자신의 신분을 위장한 채, 외국인처럼 행세하는 ‘스모크 스크린’ 캠페인 분석을 통해 APT 위협이 다양한 형태로 진화를 거듭하고 있다고 ESRC는 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
