실제 업무 내용처럼 위장 접근 후 해킹 시도...코니 APT 그룹 소행의 악성코드와 동일
의심 피하기 위해 악성파일과 정상파일 함께 보내...사용자 단말 주요정보 저장 및 유출
[보안뉴스 김영명 기자] 비트코인 가격이 사상 최고가 행진을 이어가는 가운데 국내 거래소 기준 한때 1억원을 돌파하는 등 관심도 집중되고 있다. 비트코인 시세가 급증하면서 이런 사회적 관심을 노린 해킹 공격도 발생하고 있어 이용자들의 주의가 요구된다.
▲압축파일 해제 후 폴더 화면(일부 블러처리)[자료=지니언스 시큐리티 센터]
지니언스 시큐리티 센터(이하 GSC)는 이달 7일 무렵부터 ‘첨부.zip’ 파일명으로 악성파일이 국내에 배포된 정황을 포착해 분석을 진행했다. 해당 압축파일 내부에는 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’와 ‘첨부2_*** 메일 내용(참고).pdf’ 등 2개 파일이 포함됐다.
해당 두 개의 첨부파일 중 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’라는 이름의 바로가기(LNK)가 실제 공격을 위해 포함된 악성파일이고, 다른 하나는 의심을 피하기 위해 미끼용으로 추가한 정상적인 PDF 문서다.
공격 시나리오를 살펴보면 초기 공격 수법은 계속 조사가 진행 중이지만, 현재로서는 해킹 메일 기반 스피어피싱 공격 가능성이 크다는 게 GSC 측의 분석이다. 공격에 쓰인 ‘첨부.zip’ 압축파일을 열어보면 ‘첨부1_성명_개인정보수집이용동의서’라는 제목의 워드 링크 파일과 함께 ‘첨부2_XXX 메일 내용(참고)’라는 PDF 파일이 확인되고 있다. 여기서 일부 명칭은 블러 처리를 했다.
압축을 해제한 후 내용을 확인하면 얼핏 보기에는 마이크로소프트 워드(.docs)나 PDF 문서처럼 보이는 두 개의 파일이 존재한다. 하지만 실제로는 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일과 ‘첨부2_*** 메일 내용(참고).pdf’ 등 두 개의 파일이 있다. 여기서 바로가기(LNK) 파일은 이중 확장자로 최종 확장자가 보이지 않기 때문에 아이콘과 확장자만 보고 MS Word DOCX 문서로 쉽게 착각할 수 있다.
이러한 전략이 전혀 새로운 방식은 아니지만, 올해 상반기 기준으로 가장 성행하는 공격요소 중 하나다. 따라서 아이콘과 확장자를 꼼꼼히 살펴보는 것과 함께 아이콘 좌측 하단에 [화살표] 포함 여부로 구별해야 한다. 보통 이러한 공격은 이메일 첨부파일이나 SNS 메신저 등으로 전달되며, 압축파일 내부에 LNK 파일을 포함한다. 그러므로 압축해제 후 아이콘에 [화살표]가 포함돼 있다면 열 중 아홉은 해킹을 시도하는 파일로 봐도 큰 무리가 없다.
▲정상 PDF 문서 실행 화면(일부 블러처리)[자료=지니언스 시큐리티 센터]
헤당 악성파일을 분석해보면 위협 행위자는 의심을 최소화하기 위해 특정 가상자산 거래소의 안내 문서처럼 조작된 ‘첨부2_*** 메일 내용(참고).pdf’ 파일을 공격에 함께 활용했다. 해당 본문 내에는 ‘개인정보 수집 이용동의서.docx’ 문서에 대해 협조 요청을 하고 있다.
공격의 시작은 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일을 통해 진행되기 때문에 위협 행위자는 본문 내용으로 간접 유인도 시도했다. 또한 바로가기 파일 내부에는 난독화된 파워쉘(PowerShell) 명령을 포함하고 있다.
바로가기 전체 길이 0x16EF7F1A 값을 확인하고, 다음과 같은 데이터 조건에 따라 파일을 생성하고 실행한다. .docx 파일은 원본과 같은 경로에 같은 이름으로 생성되고, .cab 파일은 공용(Public) 폴더 경로에 ‘UHCYbG.cab’ 이름으로 만든다.
먼저 파워쉘 내부 명령에 따라 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일은 같은 위치에 ‘첨부1_성명_개인정보수집이용동의서.docx’ 파일로 교체되고 실행된다. 그 다음 공용(Public) 폴더 경로에 ‘UHCYbG.cab’ 파일을 생성하고 공용문서(Documents) 위치에 압축을 해제한다. 해제된 파일이 실행되면, CAB 파일은 자동으로 삭제된다.
압축 내부에는 start.vbs, 49120862.bat, 78345839.bat, 47835693.bat, 30440211.bat, 60712945.bat, 30606240.bat, 99548182.bat, unzip.exe 등 파일이 포함돼 있으며, VBS 스크립트에 의해 작동이 시작된다. 그 다음 조건에 따라 여러 BAT 파일이 호출되면서 사용자 컴퓨터 정보 수집과 유출 시도, 레지스트리 등록을 통한 지속성 유지와 추가 악성파일 설치 등이 이어진다. 이와 같은 과정을 거쳐 사용자 단말의 주요정보가 저장되고, 위협 행위자가 지정한 명령제어(C&C) 서버로 유출 및 추가 악성파일 다운로드가 시도된다.
▲LNK 실행 후 보여지는 정상 문서 화면 및 감염 단말에서 수집된 정보 저장 텍스트 파일(좌부터)[자료=지니언스 시큐리티 센터]
지금까지 살펴본 위협 사례는 2023년 7월 31일과 9월 26일에 지니언스가 위협분석 보고서로 발간한 코니(Konni) APT 캠페인의 연장선에 속한다. 이번 공격은 ‘국세청 우편물 발송 알림 사칭 공격’, ‘통일 및 북한인권 분야 표적 사례와 공격’에 쓰인 코드 유사도가 높다.
GSC 관계자는 “코니 그룹은 비트코인 거래 관계자 및 대북북야 종사자 등 다양한 위협 활동을 전개 중으로 주로 LNK, VBS, BAT 유형의 악성코드를 개발해 공격에 사용하고 있다”며 “초기 유입을 예방하기 위해 바로가기(LNK) 파일에 대한 주의가 요구되고, 연쇄적으로 작동하는 배치파일(BAT)의 이상행위를 탐지하고 차단해야 한다”고 말했다. 이어 “특히 위협 행위자들이 시그니처 기반의 탐지를 회피하기 위해 C&C 서버와 명령 코드를 계속 바꾸고 있어 주의가 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
의심 피하기 위해 악성파일과 정상파일 함께 보내...사용자 단말 주요정보 저장 및 유출
[보안뉴스 김영명 기자] 비트코인 가격이 사상 최고가 행진을 이어가는 가운데 국내 거래소 기준 한때 1억원을 돌파하는 등 관심도 집중되고 있다. 비트코인 시세가 급증하면서 이런 사회적 관심을 노린 해킹 공격도 발생하고 있어 이용자들의 주의가 요구된다.
▲압축파일 해제 후 폴더 화면(일부 블러처리)[자료=지니언스 시큐리티 센터]
지니언스 시큐리티 센터(이하 GSC)는 이달 7일 무렵부터 ‘첨부.zip’ 파일명으로 악성파일이 국내에 배포된 정황을 포착해 분석을 진행했다. 해당 압축파일 내부에는 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’와 ‘첨부2_*** 메일 내용(참고).pdf’ 등 2개 파일이 포함됐다.
해당 두 개의 첨부파일 중 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’라는 이름의 바로가기(LNK)가 실제 공격을 위해 포함된 악성파일이고, 다른 하나는 의심을 피하기 위해 미끼용으로 추가한 정상적인 PDF 문서다.
공격 시나리오를 살펴보면 초기 공격 수법은 계속 조사가 진행 중이지만, 현재로서는 해킹 메일 기반 스피어피싱 공격 가능성이 크다는 게 GSC 측의 분석이다. 공격에 쓰인 ‘첨부.zip’ 압축파일을 열어보면 ‘첨부1_성명_개인정보수집이용동의서’라는 제목의 워드 링크 파일과 함께 ‘첨부2_XXX 메일 내용(참고)’라는 PDF 파일이 확인되고 있다. 여기서 일부 명칭은 블러 처리를 했다.
압축을 해제한 후 내용을 확인하면 얼핏 보기에는 마이크로소프트 워드(.docs)나 PDF 문서처럼 보이는 두 개의 파일이 존재한다. 하지만 실제로는 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일과 ‘첨부2_*** 메일 내용(참고).pdf’ 등 두 개의 파일이 있다. 여기서 바로가기(LNK) 파일은 이중 확장자로 최종 확장자가 보이지 않기 때문에 아이콘과 확장자만 보고 MS Word DOCX 문서로 쉽게 착각할 수 있다.
이러한 전략이 전혀 새로운 방식은 아니지만, 올해 상반기 기준으로 가장 성행하는 공격요소 중 하나다. 따라서 아이콘과 확장자를 꼼꼼히 살펴보는 것과 함께 아이콘 좌측 하단에 [화살표] 포함 여부로 구별해야 한다. 보통 이러한 공격은 이메일 첨부파일이나 SNS 메신저 등으로 전달되며, 압축파일 내부에 LNK 파일을 포함한다. 그러므로 압축해제 후 아이콘에 [화살표]가 포함돼 있다면 열 중 아홉은 해킹을 시도하는 파일로 봐도 큰 무리가 없다.
▲정상 PDF 문서 실행 화면(일부 블러처리)[자료=지니언스 시큐리티 센터]
헤당 악성파일을 분석해보면 위협 행위자는 의심을 최소화하기 위해 특정 가상자산 거래소의 안내 문서처럼 조작된 ‘첨부2_*** 메일 내용(참고).pdf’ 파일을 공격에 함께 활용했다. 해당 본문 내에는 ‘개인정보 수집 이용동의서.docx’ 문서에 대해 협조 요청을 하고 있다.
공격의 시작은 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일을 통해 진행되기 때문에 위협 행위자는 본문 내용으로 간접 유인도 시도했다. 또한 바로가기 파일 내부에는 난독화된 파워쉘(PowerShell) 명령을 포함하고 있다.
바로가기 전체 길이 0x16EF7F1A 값을 확인하고, 다음과 같은 데이터 조건에 따라 파일을 생성하고 실행한다. .docx 파일은 원본과 같은 경로에 같은 이름으로 생성되고, .cab 파일은 공용(Public) 폴더 경로에 ‘UHCYbG.cab’ 이름으로 만든다.
먼저 파워쉘 내부 명령에 따라 ‘첨부1_성명_개인정보수집이용동의서.docx.lnk’ 파일은 같은 위치에 ‘첨부1_성명_개인정보수집이용동의서.docx’ 파일로 교체되고 실행된다. 그 다음 공용(Public) 폴더 경로에 ‘UHCYbG.cab’ 파일을 생성하고 공용문서(Documents) 위치에 압축을 해제한다. 해제된 파일이 실행되면, CAB 파일은 자동으로 삭제된다.
압축 내부에는 start.vbs, 49120862.bat, 78345839.bat, 47835693.bat, 30440211.bat, 60712945.bat, 30606240.bat, 99548182.bat, unzip.exe 등 파일이 포함돼 있으며, VBS 스크립트에 의해 작동이 시작된다. 그 다음 조건에 따라 여러 BAT 파일이 호출되면서 사용자 컴퓨터 정보 수집과 유출 시도, 레지스트리 등록을 통한 지속성 유지와 추가 악성파일 설치 등이 이어진다. 이와 같은 과정을 거쳐 사용자 단말의 주요정보가 저장되고, 위협 행위자가 지정한 명령제어(C&C) 서버로 유출 및 추가 악성파일 다운로드가 시도된다.
▲LNK 실행 후 보여지는 정상 문서 화면 및 감염 단말에서 수집된 정보 저장 텍스트 파일(좌부터)[자료=지니언스 시큐리티 센터]
지금까지 살펴본 위협 사례는 2023년 7월 31일과 9월 26일에 지니언스가 위협분석 보고서로 발간한 코니(Konni) APT 캠페인의 연장선에 속한다. 이번 공격은 ‘국세청 우편물 발송 알림 사칭 공격’, ‘통일 및 북한인권 분야 표적 사례와 공격’에 쓰인 코드 유사도가 높다.
GSC 관계자는 “코니 그룹은 비트코인 거래 관계자 및 대북북야 종사자 등 다양한 위협 활동을 전개 중으로 주로 LNK, VBS, BAT 유형의 악성코드를 개발해 공격에 사용하고 있다”며 “초기 유입을 예방하기 위해 바로가기(LNK) 파일에 대한 주의가 요구되고, 연쇄적으로 작동하는 배치파일(BAT)의 이상행위를 탐지하고 차단해야 한다”고 말했다. 이어 “특히 위협 행위자들이 시그니처 기반의 탐지를 회피하기 위해 C&C 서버와 명령 코드를 계속 바꾸고 있어 주의가 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
