세무조사 신고, 금융거래, 코인거래 등 다양한 주제로 현혹...특정 사용자 개인정보 이용 추정
안랩 ASEC 분석팀, 5월 한 달간 김수키의 APT 공격 추적...CHM 이용 유포 다수 발견
[보안뉴스 김영명 기자] 북한 김수키(Kimsuky) 해킹그룹은 악성코드 유포에 문서 파일을 자주 사용하는 것이 특징이다. 하지만 최근에는 CHM(윈도우 도움말 파일)을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다뤘던 과거와는 다르게 다양한 주제를 이용해 공격을 시도하고 있다.
▲금융거래로 위장한 CHM 화면[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀은 김수키 해킹그룹의 APT 공격을 꾸준히 추적해 왔으며, 올해 5월 한달간 분석한 내용을 발표했다. 첫 번째로 ‘유포 사례’를 보면, 5월 한달 간 확인된 CHM 악성코드의 유포 파일명은 △(코인원)고객 거래 확인서.chm △202305050017 발주서 (1).chm △비트왁 신청서.chm △20230412_세무조사 신고안내.chm △2023년 연회비 납입 관련 자료(****).chm △임대차계약서 수정본.chm △납부서.chm △리그 오브 레전드 계정 제재 안내(라이엇 게임즈).chm △2023년 제1회 임시총회 서면결의서.chm △교육비납입증명서.chm △CTP 락업 해제 안내(***님).chm △제23권 5호 게재료 관련 자료(***).chm △구미시 종합비즈니스지원센터 입주(갱신)신청서 자료(***).chm △상장심의 자료.chm △*** 4대보험 가입증명 자료.chm 등이다. 해당 파일명을 보면 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인정보가 이용되는 것으로 추정된다.
유포 중인 CHM 악성코드는 실행 시 정상적인 도움말 창을 생성하며 내부 악성 스크립트에 의해 악성 행위가 수행되는 형태다. 사용자는 정상 파일로 위장한 도움말 화면에 속아 악성 행위를 알아차리기 어렵다. 이때 사용자 PC에 생성되는 도움말 창은 특정 분야의 종사자를 타깃으로 각각 다른 주제를 이용해 위장했다.
먼저, ‘세무조사 신고 위장’ 사례를 보면, 세무신고 관련 사용자를 대상으로 국세청 세무조사 신고 안내문을 위장한 형태다. 특히, 5월은 종합소득세 신고 기간으로 공격자는 해당 특징을 이용한 것으로 보인다.
두 번째는 ‘금융거래 위장’으로 특정 사용자 간의 금융 거래를 위장한 형태다. 해당 사례에서는 실제 사용자의 계좌번호와 거래 내역을 확인할 수 있으며, 탈취된 개인정보를 이용한 것으로 보인다.
세 번째는 ‘코인 거래를 위장한 형태’가 있다. 금융거래 위장 사례와 동일하게 실제 사용자 이메일, 전화번호 등의 개인정보가 포함돼 있다. 이밖에도 ‘계약서 등의 서류 위장’ 사례도 발견되고 있다. 서류 위장 사례는 계약서, 증명서, 발주서 등을 확인할 수 있다. 더욱이 특정인의 주민등록등본, 티켓 예매 내역 등 다양한 형태로 유포되고 있어 사용자들의 각별한 주의가 필요하다.
▲CHM 악성코드의 전체적인 동작 과정[자료=안랩 ASEC 분석팀]
김수키 해킹그룹이 유포한 CHM 악성코드의 전체적인 동작 과정을 보면, 다운로드되는 다수의 스크립트를 통해 사용자 정보 탈취 및 추가 악성코드 다운로드가 수행되고 있다. 해당 CHM 유형의 전체적인 동작 과정은 다운로드되는 다수의 스크립트를 통해 사용자 정보탈취 및 추가 악성코드 다운로드가 수행되는 것으로 파악이 가능하다.
CHM 내 존재하는 악성 스크립트는 바로가기 객체를 통해 악성 명령어를 실행하며, 바로가기 객체는 Click 메소드를 통해 호출된다. 해당 명령어의 기능은 2개의 인코딩된 명령어를 각각 특정 폴더 내에 저장하며 certutil를 통해 디코딩된 명령어를 oeirituttbb.vbs와 oeirituttvv.bat 파일에 저장한다. 그 이후 oeirituttbb.vbs를 실행하고 oeirituttbb.vbs 파일을 RUN 키에 등록해 지속해서 악성 스크립트가 실행될 수 있도록 한다.
oeirituttbb.vbs는 함께 생성된 oeirituttvv.bat 파일을 실행하는 Runner다. oeirituttvv.bat 은 curl을 통해 추가 악성 파일을 내려받는 기능을 수행하며, 다운로드되는 파일은 총 2개로 BAT 파일과 CAB 파일이다. 다운로드된 BAT 파일인 pung03.bat 파일은 CAB 파일인 qung03.cab을 압축 해제한 후 temprr03.bat을 실행한다. CAB 파일 내부에는 총 6개의 스크립트가 존재한다. 각각의 파일과 기능은 △temprr03.bat은 loyes03.bat 실행 △loyes03.bat은 RunKey 등록(mnasrt.vbs)·loyestemp03.bat 실행·dwpp.vbs 실행 △mnasrt.vbs은 loyes03.bat 실행 △loyestemp03.bat은 사용자 정보 수집·uwpp.vbs 실행 △dwpp.vbs은 CAB 다운로드 △uwpp.vbs은 사용자 정보 업로드 등이다. 해당 스크립트에 의해 수행되는 최종 악성 행위는 사용자 정보탈취 및 추가 악성 파일 다운로드다.
▲악성코드로 탈취한 정보[자료=안랩 ASEC 분석팀]
공격자는 탈취한 사용자 정보를 확인해 공격 대상 시스템일 경우에만 추가 악성 파일을 명령제어(C2) 서버에 업로드하는 것으로 보인다. 공격 대상 시스템일 경우, 공격자는 감염 PC의 컴퓨터명으로 파일을 업로드한다. 감염된 PC의 경우 RunKey에 등록된 스크립트에 의해 지속적으로 다운로드를 시도하게 되며, 추가 파일이 업로드됐을 때 다운로드가 수행된다. 그 이후 다운로드된 파일을 expand 명령어를 통해 압축 해제 후 실행하는 것으로 보아, 추가 파일 또한 CAB 파일로 추정된다.
안랩 ASEC 분석팀 측은 “공격 대상에 따라 다운로드되는 악성 파일의 유형이 달라질 수 있어 더욱 치밀한 공격이 가능하고, 최근에는 사용자 개인정보 등을 이용해 특정 사용자를 타깃으로 하는 악성코드 유포가 증가하고, APT 공격에 CHM 파일을 이용하는 사례도 빈번히 확인되고 있다”고 밝혔다. 이어 “사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다”며 “PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트하도록 해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
안랩 ASEC 분석팀, 5월 한 달간 김수키의 APT 공격 추적...CHM 이용 유포 다수 발견
[보안뉴스 김영명 기자] 북한 김수키(Kimsuky) 해킹그룹은 악성코드 유포에 문서 파일을 자주 사용하는 것이 특징이다. 하지만 최근에는 CHM(윈도우 도움말 파일)을 이용한 유포 방식이 다수 확인되고 있다. 또한, 대부분 문서 내용으로 대북 주제를 다뤘던 과거와는 다르게 다양한 주제를 이용해 공격을 시도하고 있다.
▲금융거래로 위장한 CHM 화면[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀은 김수키 해킹그룹의 APT 공격을 꾸준히 추적해 왔으며, 올해 5월 한달간 분석한 내용을 발표했다. 첫 번째로 ‘유포 사례’를 보면, 5월 한달 간 확인된 CHM 악성코드의 유포 파일명은 △(코인원)고객 거래 확인서.chm △202305050017 발주서 (1).chm △비트왁 신청서.chm △20230412_세무조사 신고안내.chm △2023년 연회비 납입 관련 자료(****).chm △임대차계약서 수정본.chm △납부서.chm △리그 오브 레전드 계정 제재 안내(라이엇 게임즈).chm △2023년 제1회 임시총회 서면결의서.chm △교육비납입증명서.chm △CTP 락업 해제 안내(***님).chm △제23권 5호 게재료 관련 자료(***).chm △구미시 종합비즈니스지원센터 입주(갱신)신청서 자료(***).chm △상장심의 자료.chm △*** 4대보험 가입증명 자료.chm 등이다. 해당 파일명을 보면 코인, 세무, 계약서 등 다양한 주제로 유포되는 것을 확인할 수 있으며, 특정 사용자의 개인정보가 이용되는 것으로 추정된다.
유포 중인 CHM 악성코드는 실행 시 정상적인 도움말 창을 생성하며 내부 악성 스크립트에 의해 악성 행위가 수행되는 형태다. 사용자는 정상 파일로 위장한 도움말 화면에 속아 악성 행위를 알아차리기 어렵다. 이때 사용자 PC에 생성되는 도움말 창은 특정 분야의 종사자를 타깃으로 각각 다른 주제를 이용해 위장했다.
먼저, ‘세무조사 신고 위장’ 사례를 보면, 세무신고 관련 사용자를 대상으로 국세청 세무조사 신고 안내문을 위장한 형태다. 특히, 5월은 종합소득세 신고 기간으로 공격자는 해당 특징을 이용한 것으로 보인다.
두 번째는 ‘금융거래 위장’으로 특정 사용자 간의 금융 거래를 위장한 형태다. 해당 사례에서는 실제 사용자의 계좌번호와 거래 내역을 확인할 수 있으며, 탈취된 개인정보를 이용한 것으로 보인다.
세 번째는 ‘코인 거래를 위장한 형태’가 있다. 금융거래 위장 사례와 동일하게 실제 사용자 이메일, 전화번호 등의 개인정보가 포함돼 있다. 이밖에도 ‘계약서 등의 서류 위장’ 사례도 발견되고 있다. 서류 위장 사례는 계약서, 증명서, 발주서 등을 확인할 수 있다. 더욱이 특정인의 주민등록등본, 티켓 예매 내역 등 다양한 형태로 유포되고 있어 사용자들의 각별한 주의가 필요하다.
▲CHM 악성코드의 전체적인 동작 과정[자료=안랩 ASEC 분석팀]
김수키 해킹그룹이 유포한 CHM 악성코드의 전체적인 동작 과정을 보면, 다운로드되는 다수의 스크립트를 통해 사용자 정보 탈취 및 추가 악성코드 다운로드가 수행되고 있다. 해당 CHM 유형의 전체적인 동작 과정은 다운로드되는 다수의 스크립트를 통해 사용자 정보탈취 및 추가 악성코드 다운로드가 수행되는 것으로 파악이 가능하다.
CHM 내 존재하는 악성 스크립트는 바로가기 객체를 통해 악성 명령어를 실행하며, 바로가기 객체는 Click 메소드를 통해 호출된다. 해당 명령어의 기능은 2개의 인코딩된 명령어를 각각 특정 폴더 내에 저장하며 certutil를 통해 디코딩된 명령어를 oeirituttbb.vbs와 oeirituttvv.bat 파일에 저장한다. 그 이후 oeirituttbb.vbs를 실행하고 oeirituttbb.vbs 파일을 RUN 키에 등록해 지속해서 악성 스크립트가 실행될 수 있도록 한다.
oeirituttbb.vbs는 함께 생성된 oeirituttvv.bat 파일을 실행하는 Runner다. oeirituttvv.bat 은 curl을 통해 추가 악성 파일을 내려받는 기능을 수행하며, 다운로드되는 파일은 총 2개로 BAT 파일과 CAB 파일이다. 다운로드된 BAT 파일인 pung03.bat 파일은 CAB 파일인 qung03.cab을 압축 해제한 후 temprr03.bat을 실행한다. CAB 파일 내부에는 총 6개의 스크립트가 존재한다. 각각의 파일과 기능은 △temprr03.bat은 loyes03.bat 실행 △loyes03.bat은 RunKey 등록(mnasrt.vbs)·loyestemp03.bat 실행·dwpp.vbs 실행 △mnasrt.vbs은 loyes03.bat 실행 △loyestemp03.bat은 사용자 정보 수집·uwpp.vbs 실행 △dwpp.vbs은 CAB 다운로드 △uwpp.vbs은 사용자 정보 업로드 등이다. 해당 스크립트에 의해 수행되는 최종 악성 행위는 사용자 정보탈취 및 추가 악성 파일 다운로드다.
▲악성코드로 탈취한 정보[자료=안랩 ASEC 분석팀]
공격자는 탈취한 사용자 정보를 확인해 공격 대상 시스템일 경우에만 추가 악성 파일을 명령제어(C2) 서버에 업로드하는 것으로 보인다. 공격 대상 시스템일 경우, 공격자는 감염 PC의 컴퓨터명으로 파일을 업로드한다. 감염된 PC의 경우 RunKey에 등록된 스크립트에 의해 지속적으로 다운로드를 시도하게 되며, 추가 파일이 업로드됐을 때 다운로드가 수행된다. 그 이후 다운로드된 파일을 expand 명령어를 통해 압축 해제 후 실행하는 것으로 보아, 추가 파일 또한 CAB 파일로 추정된다.
안랩 ASEC 분석팀 측은 “공격 대상에 따라 다운로드되는 악성 파일의 유형이 달라질 수 있어 더욱 치밀한 공격이 가능하고, 최근에는 사용자 개인정보 등을 이용해 특정 사용자를 타깃으로 하는 악성코드 유포가 증가하고, APT 공격에 CHM 파일을 이용하는 사례도 빈번히 확인되고 있다”고 밝혔다. 이어 “사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다”며 “PC 점검을 주기적으로 진행하고 보안 제품을 항상 최신으로 업데이트하도록 해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
