GSC, 구글 드라이브 통한 리치 텍스트 포맷(RTF) 문서 위장 공격 및 회피 전략 밝혀
IP 조회 결과 ‘새 세기 산업 혁명’ 회사 정보 확인...북한과 관련된 표현 다수
국내 이호스트아이씨티(ehostict) 호스팅 사용 이력...포털·가상자산거래소 유사한 도메인 활용
[보안뉴스 이소미 기자] 새해를 맞이하며 나누는 ‘신년인사’는 으레 자연스러운 안부를 묻기에 적합하다. 이러한 시기를 이용해 공격자가 시즌 타깃 공격을 수행한 사례를 지니언스 시큐리티 센터(이하 GSC)가 분석해 발표했다. 해당 공격은 실제 한 언론사에 올려진 오피니언 칼럼 제목을 그대로 인용해 이메일 기반 스피어피싱 공격이 감행됐다. 주로 평일 주간 시간대에 발송됐으며, 마치 비즈니스상 이미 알고 있는 지인처럼 접근하는 사회공학적 기법까지 활용됐다.
[이미지=gettyimagesbank]
공격자의 초기 접근 방법은 전통적인 방식의 이메일 기반 스피어피싱이지만, 사회공학적 기법 극대화를 위해 주요 관심사·행사 등을 주제로 삼는다. 스피어피싱은 불특정 다수를 겨냥하는 일반 피싱과 달리 특정인의 정보를 캐내기 위한 피싱 공격을 말한다. 공격 이메일 제목은 특정 지인처럼 ‘OOO입니다’로 시작해 ‘2024년 새해, 남북미 3국 정상에게 드리는 메시지.zip’이라는 압축 파일과 이를 해제할 수 있는 비밀번호 10자리까지 기재돼 있다. 이와 관련해 GSC는 보안 기능이 아닌 방어 회피(Defense Evasion) 전략으로 보인다고 설명했다.
▲스피어 피싱 공격 화면 및 DOCX 문서로 위장된 LNK 악성파일[이미지=지니언스]
실제로 이메일에 첨부된 압축 파일은 대용량 링크로 전달됐는데 실제 파일 크기는 2,472 바이트로 매우 적은 편에 속한다. 공격자들은 악성 파일 첨부 시 URL 링크 주소로 보내는데 이는 보안 서비스 탐지 우회 및 파일 교체·제거가 상대적으로 용이하기 때문이다.
압축파일을 풀면 파일명 ‘2024년 새해, 남북미 3국 정상에게 드리는 메시지.docx.lnk’로 이중 확장자를 가진 바로가기(LNK) 타입의 악성 파일이 나타난다. 이중 확장자 파일은 [파일명.docx.lnk] 형태로 ‘docx’ 부분이 최종 확장자로 보이게 된다. 이러한 악성 LNK 파일은 ‘서식있는 텍스트(RTF)’를 작성하는 워드패드 아이콘 모양을 취하고 있다.
▲LNK 내부에 포함된 PowerShell 명령어 화면[이미지=지니언스]
GSC가 분석한 LNK 파일 속성 정보를 통해 호출되는 파워셸(PowerShel)l 명령은 내부에 삽입된 Base64 인코딩 값 ‘zcnodcnewf(무작위 숫자).ps1’ 파일로 디코딩 된다. BASE64 인코딩 데이터는 첫 번째 ‘$filePath’ 변수를 통해 임시경로(Temp)에 ‘swolf-first.ps1’ PowerShell 파일명을 선언한다. 참고로 ‘swolf’는 ‘Swim’과 ‘Golf’의 합성어로 보통 수영의 효율성을 측정하는 수치지만 공격자가 사용한 정확한 의도는 아직까지 밝혀지지 않았다.
또한 변수 활용이 두드러지는 것을 확인할 수 있는데 ‘$settings’ 숨김 기능으로 예약 작업을 설정해 작업 이름을 ‘MicrosoftEdgeUpdateVersion’로 등록했다. 이는 마치 MS 엣지 브라우저 업데이트 버전처럼 위장한다. 여기서 ‘Microsoft’ 표현에 알파벳 c 오탈자가 보인다. ‘$filePath’는 ‘Invoke-WebRequest’ 명령으로 지정된 구글 드라이브 주소에서 ‘1.txt’ 파일을 임시폴더(Temp) 경로로 다운로드하고, 확장자 ‘rtf’로 미끼용 문서 파일을 생성·실행한다. 단순 텍스트 문서처럼 보이지만 실제로는 악성 PowerShell 명령이 삽입된 상태다. ‘calc.txt’ 파일의 PowerShell 명령은 또 다른 구글 드라이브 주소에 ‘rc.rtf’ 파일을 ‘swolf-data’ 이름으로 임시 폴더(Temp) 경로에 저장한다. 이전과 달리 ‘txt’가 아닌 ‘rtf’ 문서로 확장자뿐만 아니라 파일 내부 헤더(File Magic Number)까지 위장한 모습이다.
▲‘fox tian’ 계정으로 등록된 구글 드라이브 모습과 ‘calc.txt’ 내부 PowerShell 명령어 화면[이미지=지니언스]
여기서 주목할 것은 ‘swolf-first.ps1’ PowerShell 명령으로 호출되는 구글 드라이브에 2023년 12월 29일 ‘calc.txt’ 파일이 ‘fox tian’ 계정 소유자가 등록했다는 점이다. 공격자가 사용한 계정명은 ‘fox tian’, 이메일 주소는 ‘tianfox67@gmail[.]com’이다.
이번 공격에 쓰인 ‘cmdline.exe’ 파일은 C#(.NET) 기반으로 개발된 ‘Custom XenoRAT’이다. ‘XenoRAT’은 1.0 버전을 시작으로 올해 1월 1.7.0 버전이 공개됐다. 이는 오픈소스 기반의 원격 제어 도구로 누구나 쉽게 악용할 수 있다. 자신을 C# 개발자 등으로 소개한 XenoRAT 개발자는 법적·윤리적 경계를 지켜야 한다고 안내하고 있지만, 동일 아이디가 해킹·데이터 유출 등의 정보 공유 불법 웹사이트인 ‘Breachforums’, ‘Hack Forums’의 가입 이력이 조회됐다.
▲RAT 개발자 정보 및 XenoRAT 서버 Client 대상 원격제어 기능 선택 화면[이미지=지니언스]
GSC가 XenoRAT Server 프로그램을 살펴본 결과, 다양한 조건의 Client 파일을 제작·실행해 자체 서버 주소로 접속하면 버전 및 사용자 정보가 출력되고 선택된 단말을 대상으로 △BSOD 발생 △파일 탐색 △시스템 종료 △웹캠 △라이브 마이크 △키로거 △화면 제어 등 각종 원격 제어 플러그인 기능을 수행할 수 있다. 특히 HVNC(Hidden Virtual Network Computing) 기능으로 단말 사용자가 모르게 원격 제어 수행이 가능하다.
이번 ‘지인 사칭 언론 칼럼 새해 인사 위협 사례’에서 사용된 명령제어(C&C) 서버 주소는 ‘RemoteEndPoint’ 값으로 설정됐으며, 독일 소재 ‘159.100.29[.]38’ IP 주소로 포트명은 ‘9999’다. 이를 GSC가 파일 검사 웹사이트 ‘바이러스토탈(VirusTotal)’로 IP 주소를 조회한 결과, 지난해 7월부터 당해 1월까지 해당 서버에 연결됐던 도메인 ‘akites[.]site’의 Passive DNS 기준 IP 주소는 총 6개로 나타났다. 특이한 점은 올해 1월 이전 시점에는 대부분 국내 IDC(Internet Data Center) 서비스 제공업체 이호스트아이씨티(ehostict) 호스팅이 사용된 이력이 확인됐다. 해당 이력을 조회해 보면 국내 포털회사 및 가상자산 거래소 등과 유사한 도메인과 일부 한글 도메인이 사용됐다.
▲바이러스토탈 IP 조회 결과와 각 IP별 도메인 이력 조회 내역[이미지=지니언스]
당시 ‘Criminal IP’의 조회 리포트에는 일시적으로 노출됐던 ‘새세기’라는 명칭의 회사 소개와 서비스 제공 내용이 담겨 있다. 현재는 ‘The future is beautyful’로 오타(beautiful)가 포함된 문장만 남아 있다. 구글에서 ‘새세기’를 검색하면 북한과 관련된 내용이 보이는데 ‘4차 산업혁명’을 ‘새세기 산업혁명’으로 지칭하는 등 IT 기술의 중요성을 강조하고 있다.
▲‘AI Spera’의 ‘Criminal IP’ 조회 및 ‘새세기’ 키워드 구글 검색 결과 화면[이미지=지니언스]
또한 IP 주소기반 위협 인텔리전스 검색엔진인 ‘크리미널 아이피(Criminal IP)’를 통해 웹 서버 메인 인덱스 파일 보관을 확인할 수 있었다. 조회 자료 중에는 △원격 데스크톱(RDP) 프로토콜 검색 내용 △대상 서버 운영체제(OS) △컴퓨터명 등이 포함돼 있다. GSC는 이번 공격에 활용된 커스텀 XenoRAT ‘cmdline.exe’ 악성 파일에서 ‘SRV48686075’ 계정이 포함된 것을 확인했다.
이와 관련해 GSC는 “최근 국내에서 발생한 APT 공격들은 PowerShell 명령을 통해 Fileless 형태로 은밀하게 작동한다”면서, “단말에 초기 유입되는 악성 파일 대부분이 잘 알려진 보안제품 패턴 및 시그니처에서 탐색이 불가능한 것이 특징”이라고 지적했다.
이어 현재 지니언스의 ‘Genian EDR’ 제품이 이러한 이상 행위들을 XBA 규칙으로 조기 탐지해 보안담당자들이 후속조치를 수행할 수 있다고 밝혔다.
[이소미 기자(boan4@boannews.com)]
IP 조회 결과 ‘새 세기 산업 혁명’ 회사 정보 확인...북한과 관련된 표현 다수
국내 이호스트아이씨티(ehostict) 호스팅 사용 이력...포털·가상자산거래소 유사한 도메인 활용
[보안뉴스 이소미 기자] 새해를 맞이하며 나누는 ‘신년인사’는 으레 자연스러운 안부를 묻기에 적합하다. 이러한 시기를 이용해 공격자가 시즌 타깃 공격을 수행한 사례를 지니언스 시큐리티 센터(이하 GSC)가 분석해 발표했다. 해당 공격은 실제 한 언론사에 올려진 오피니언 칼럼 제목을 그대로 인용해 이메일 기반 스피어피싱 공격이 감행됐다. 주로 평일 주간 시간대에 발송됐으며, 마치 비즈니스상 이미 알고 있는 지인처럼 접근하는 사회공학적 기법까지 활용됐다.
[이미지=gettyimagesbank]
공격자의 초기 접근 방법은 전통적인 방식의 이메일 기반 스피어피싱이지만, 사회공학적 기법 극대화를 위해 주요 관심사·행사 등을 주제로 삼는다. 스피어피싱은 불특정 다수를 겨냥하는 일반 피싱과 달리 특정인의 정보를 캐내기 위한 피싱 공격을 말한다. 공격 이메일 제목은 특정 지인처럼 ‘OOO입니다’로 시작해 ‘2024년 새해, 남북미 3국 정상에게 드리는 메시지.zip’이라는 압축 파일과 이를 해제할 수 있는 비밀번호 10자리까지 기재돼 있다. 이와 관련해 GSC는 보안 기능이 아닌 방어 회피(Defense Evasion) 전략으로 보인다고 설명했다.
▲스피어 피싱 공격 화면 및 DOCX 문서로 위장된 LNK 악성파일[이미지=지니언스]
실제로 이메일에 첨부된 압축 파일은 대용량 링크로 전달됐는데 실제 파일 크기는 2,472 바이트로 매우 적은 편에 속한다. 공격자들은 악성 파일 첨부 시 URL 링크 주소로 보내는데 이는 보안 서비스 탐지 우회 및 파일 교체·제거가 상대적으로 용이하기 때문이다.
압축파일을 풀면 파일명 ‘2024년 새해, 남북미 3국 정상에게 드리는 메시지.docx.lnk’로 이중 확장자를 가진 바로가기(LNK) 타입의 악성 파일이 나타난다. 이중 확장자 파일은 [파일명.docx.lnk] 형태로 ‘docx’ 부분이 최종 확장자로 보이게 된다. 이러한 악성 LNK 파일은 ‘서식있는 텍스트(RTF)’를 작성하는 워드패드 아이콘 모양을 취하고 있다.
▲LNK 내부에 포함된 PowerShell 명령어 화면[이미지=지니언스]
GSC가 분석한 LNK 파일 속성 정보를 통해 호출되는 파워셸(PowerShel)l 명령은 내부에 삽입된 Base64 인코딩 값 ‘zcnodcnewf(무작위 숫자).ps1’ 파일로 디코딩 된다. BASE64 인코딩 데이터는 첫 번째 ‘$filePath’ 변수를 통해 임시경로(Temp)에 ‘swolf-first.ps1’ PowerShell 파일명을 선언한다. 참고로 ‘swolf’는 ‘Swim’과 ‘Golf’의 합성어로 보통 수영의 효율성을 측정하는 수치지만 공격자가 사용한 정확한 의도는 아직까지 밝혀지지 않았다.
또한 변수 활용이 두드러지는 것을 확인할 수 있는데 ‘$settings’ 숨김 기능으로 예약 작업을 설정해 작업 이름을 ‘MicrosoftEdgeUpdateVersion’로 등록했다. 이는 마치 MS 엣지 브라우저 업데이트 버전처럼 위장한다. 여기서 ‘Microsoft’ 표현에 알파벳 c 오탈자가 보인다. ‘$filePath’는 ‘Invoke-WebRequest’ 명령으로 지정된 구글 드라이브 주소에서 ‘1.txt’ 파일을 임시폴더(Temp) 경로로 다운로드하고, 확장자 ‘rtf’로 미끼용 문서 파일을 생성·실행한다. 단순 텍스트 문서처럼 보이지만 실제로는 악성 PowerShell 명령이 삽입된 상태다. ‘calc.txt’ 파일의 PowerShell 명령은 또 다른 구글 드라이브 주소에 ‘rc.rtf’ 파일을 ‘swolf-data’ 이름으로 임시 폴더(Temp) 경로에 저장한다. 이전과 달리 ‘txt’가 아닌 ‘rtf’ 문서로 확장자뿐만 아니라 파일 내부 헤더(File Magic Number)까지 위장한 모습이다.
▲‘fox tian’ 계정으로 등록된 구글 드라이브 모습과 ‘calc.txt’ 내부 PowerShell 명령어 화면[이미지=지니언스]
여기서 주목할 것은 ‘swolf-first.ps1’ PowerShell 명령으로 호출되는 구글 드라이브에 2023년 12월 29일 ‘calc.txt’ 파일이 ‘fox tian’ 계정 소유자가 등록했다는 점이다. 공격자가 사용한 계정명은 ‘fox tian’, 이메일 주소는 ‘tianfox67@gmail[.]com’이다.
이번 공격에 쓰인 ‘cmdline.exe’ 파일은 C#(.NET) 기반으로 개발된 ‘Custom XenoRAT’이다. ‘XenoRAT’은 1.0 버전을 시작으로 올해 1월 1.7.0 버전이 공개됐다. 이는 오픈소스 기반의 원격 제어 도구로 누구나 쉽게 악용할 수 있다. 자신을 C# 개발자 등으로 소개한 XenoRAT 개발자는 법적·윤리적 경계를 지켜야 한다고 안내하고 있지만, 동일 아이디가 해킹·데이터 유출 등의 정보 공유 불법 웹사이트인 ‘Breachforums’, ‘Hack Forums’의 가입 이력이 조회됐다.
▲RAT 개발자 정보 및 XenoRAT 서버 Client 대상 원격제어 기능 선택 화면[이미지=지니언스]
GSC가 XenoRAT Server 프로그램을 살펴본 결과, 다양한 조건의 Client 파일을 제작·실행해 자체 서버 주소로 접속하면 버전 및 사용자 정보가 출력되고 선택된 단말을 대상으로 △BSOD 발생 △파일 탐색 △시스템 종료 △웹캠 △라이브 마이크 △키로거 △화면 제어 등 각종 원격 제어 플러그인 기능을 수행할 수 있다. 특히 HVNC(Hidden Virtual Network Computing) 기능으로 단말 사용자가 모르게 원격 제어 수행이 가능하다.
이번 ‘지인 사칭 언론 칼럼 새해 인사 위협 사례’에서 사용된 명령제어(C&C) 서버 주소는 ‘RemoteEndPoint’ 값으로 설정됐으며, 독일 소재 ‘159.100.29[.]38’ IP 주소로 포트명은 ‘9999’다. 이를 GSC가 파일 검사 웹사이트 ‘바이러스토탈(VirusTotal)’로 IP 주소를 조회한 결과, 지난해 7월부터 당해 1월까지 해당 서버에 연결됐던 도메인 ‘akites[.]site’의 Passive DNS 기준 IP 주소는 총 6개로 나타났다. 특이한 점은 올해 1월 이전 시점에는 대부분 국내 IDC(Internet Data Center) 서비스 제공업체 이호스트아이씨티(ehostict) 호스팅이 사용된 이력이 확인됐다. 해당 이력을 조회해 보면 국내 포털회사 및 가상자산 거래소 등과 유사한 도메인과 일부 한글 도메인이 사용됐다.
▲바이러스토탈 IP 조회 결과와 각 IP별 도메인 이력 조회 내역[이미지=지니언스]
당시 ‘Criminal IP’의 조회 리포트에는 일시적으로 노출됐던 ‘새세기’라는 명칭의 회사 소개와 서비스 제공 내용이 담겨 있다. 현재는 ‘The future is beautyful’로 오타(beautiful)가 포함된 문장만 남아 있다. 구글에서 ‘새세기’를 검색하면 북한과 관련된 내용이 보이는데 ‘4차 산업혁명’을 ‘새세기 산업혁명’으로 지칭하는 등 IT 기술의 중요성을 강조하고 있다.
▲‘AI Spera’의 ‘Criminal IP’ 조회 및 ‘새세기’ 키워드 구글 검색 결과 화면[이미지=지니언스]
또한 IP 주소기반 위협 인텔리전스 검색엔진인 ‘크리미널 아이피(Criminal IP)’를 통해 웹 서버 메인 인덱스 파일 보관을 확인할 수 있었다. 조회 자료 중에는 △원격 데스크톱(RDP) 프로토콜 검색 내용 △대상 서버 운영체제(OS) △컴퓨터명 등이 포함돼 있다. GSC는 이번 공격에 활용된 커스텀 XenoRAT ‘cmdline.exe’ 악성 파일에서 ‘SRV48686075’ 계정이 포함된 것을 확인했다.
이와 관련해 GSC는 “최근 국내에서 발생한 APT 공격들은 PowerShell 명령을 통해 Fileless 형태로 은밀하게 작동한다”면서, “단말에 초기 유입되는 악성 파일 대부분이 잘 알려진 보안제품 패턴 및 시그니처에서 탐색이 불가능한 것이 특징”이라고 지적했다.
이어 현재 지니언스의 ‘Genian EDR’ 제품이 이러한 이상 행위들을 XBA 규칙으로 조기 탐지해 보안담당자들이 후속조치를 수행할 수 있다고 밝혔다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
