HWP 악성 문서 파일 공격 이은 MSC 기반 APT 공격은 두 차례 포착
확장자 .msc인 경우, DOC·PDF 아이콘 위장한 악성코드 가능성 높아
[보안뉴스 이소미 기자] 최근 김수키(Kimsuky) 그룹이 외신 통신사 소속의 연구원 신분으로 위장해 다수의 북한 인권 활동가들을 대상으로 이메일로 접근, ‘한반도 평화 주제 관련 서면 인터뷰 요청’ 등의 방식으로 스피어 피싱 공격을 벌이고 있어 대북 종사자들의 각별한 주의가 요구되고 있다.
특히 일반적인 스피어 피싱은 초기 접근 단계부터 악성 URL 링크 및 파일을 첨부하는 경우가 대부분이다. 하지만 이번 공격처럼 정상적인 질문·협조 요청은 물론, 신뢰를 쌓기 위해 지속적으로 친밀한 대화를 이어나가는 등 ‘반응형 투-트랙(Two-Track) 스피어 피싱 공격’이 증가하고 있다고 지니언스 시큐리티 센터(이하 GSC)는 전했다.
▲통신사 인터뷰 요청 위장 이메일 접근 및 악성 HWP 문서 첨부 화면[자료=지니언스]
이번 캠페인의 공격자는 접근 초기 단계부터 악성 파일 등을 첨부하지 않고 인터뷰 요청과 관련해 수차례 정상적인 대화를 이어가며 이메일을 주고받은 것으로 드러났다. 이후 공격자는 대상자에게 참고자료라며 ‘인터뷰메모(2405).hwp’라는 악성 파일을 첨부하고, ‘기사 초안’을 링크로 넣어두었다며 ‘기재 예정 기사 초안(검토 필요)’로 표기된 밑줄 영역을 클릭하도록 유도한다.
이는 이른바 ‘개체 연결 삽입(OLE)’ 공격으로 클릭과 동시에 OLE 추가 명령이 작동해 ‘doc.bat’이라는 배치 파일을 임시폴더(Temp) 경로에 생성해 확장자 없는 ‘qaz’ 파일에 저장한다. 이는 보안 소프트웨어(Anti-Malware) 프로세스를 검색해 백신 탐지 우회를 노리는 것으로 분석됐다.
또한 공격자는 1차 hwp 공격 실패 이후 동일 대상자에게 후속 공격으로 msc 유형의 악성 파일을 사용한 정황히 포착됐는데, 이는 김수키 그룹 소행의 msc 악성 파일이 APT 공격에 사용된 것은 이번이 두번째다.
▲‘인터뷰메모(2405).hwp’ 문서 실행 화면과 msc 파일 다운로드 진행 시 아이콘 비교 화면[자료=지니언스]
해당 공격에 쓰인 ‘양자암호_기사(초안).msc’, ‘Pocantico Agenda_Jun 4-6.msc’ 두 개의 악성 파일은 공격자의 ‘원드라이브(OneDrive)’ 계정으로 대상자별로 다른 링크를 적용해 원 드라이브(OneDrive) 클라우드 링크를 통해 전달된다. 이때 크롬 웹 브라우저 조건에서 다운로드 기록 아이콘이 msc 파일로 보여지는데, 다운로드 후에는 Word, PDF 문서처럼 보이도록 아이콘이 조작됐다.
‘양자암호_기사(초안).msc’ 파일은 hwp 공격을 받은 대상자가 동일하게 받은 파일로 ‘Pocantico Agenda_Jun 4-6.msc’ 파일은 hwp 악성 문서와 명령제어(C&C) 서버 도메인이 공통적으로 일치했으며, 경로만 다르고 다른 명령 부분은 동일한 것으로 나타났다. 참고로 해당 명령 값은 GSC가 발표한 기존 ‘페이스북과 MS 관리콘솔을 활용한 Kimsuky APT 공격 발견’ 내용과 일치하는 것으로 나타났다. 또한 이번 공격 사례와 과거에 사용된 C&C 도메인 이력을 비교해 공격 거점은 변경되고 있지만 동일한 캠페인이 지속적으로 진행되고 있다고 밝혔다.
hwp 및 msc 파일은 공통적으로 bat, vbs 명령을 사용하고 있는데, 특이한 점은 예약 작업 등록으로 잠복기·지속성을 유지한다. 특히 msc 파일의 경우 Anti-Malware 시그니처 탐지율이 저조한 상태로 그만큼 널리 알려지지 않았기 때문이며, 김수키 그룹이 MSC 관리콘솔 명령을 국지적 APT 공격에 적극 활용한 것은 시그니처(패턴) 기반의 보안 탐지 회피 전략으로 평가됐다.
▲김수키(Kimsuky) 그룹의 HWP·MSC 기반 공격 흐름도[자료=지니언스]
이처럼 공격자는 화살표가 포함된 아이콘 유형의 바로가기(LNK) 악성코드와 더불어 MS 관리콘솔(MSC) 악성 파일을 꾸준히 활용하고 있는 것으로 나타났다. 현재까지 발견된 종류로 △양자암호_기사(초안).msc △Pocantico Agenda_Jun 4-6.msc △Interview by Reuters(SeanKing).msc 등이 있지만, 이외에도 더 많은 변종이 있을 것으로 추정된다고 GSC는 전했다.
한편, 해당 공격은 GSC가 5월 발간한 위협 인텔리전스 보고서에서 북한 인권 분야 공직자 사칭의 페이스북 계정을 악용한 ‘페이스북 기반 침투 전략’의 연장선 중 하나로 분석하고 있다. 두 케이스 모두 ‘북한 인권 분야’라는 공통점이 있고, hwp 악성 문서와 함께 ‘MS 관리콘솔’ 프로그램을 통해 실행되는 ‘MS Common Console 문서(msc)’가 활용된 특징을 짚었다.
이와 관련해 GSC는 아이콘에 작은 화살표가 있는 파일이 이메일이나 SNS 등으로 수신될 경우나 HWP·DOC·PDF 문서 파일의 아이콘이라도 확장자가 msc인 경우, 악성코드일 가능성이 높으므로 아이콘과 확장자를 유심히 살펴보는 보안 습관이 요구된다고 전했다.
또한 중국 기반 위협그룹인 ‘머스탱 판다(Mustang Panda)’가 김수키 MSC 공격전략을 모방한 것으로도 보고 있다. 지난 5월 30일 ‘Шуурхай мэдээ 2024-05-27 -.msc’ 이라는 몽골어로 이루어진 파일이 몽골 지역에서 바이러스토탈(VT)에 업로드됐는데, 해당 파일을 영어로 번역하면 속보 뉴스(Breaking news 2024-05-27-.msc)라는 의미다.
이를 두고 GSC는 “두 그룹이 전략적 협력 구축 여부 및 중국의 일방적인 모방인지 밝혀지진 않았지만 공격자 측면에서 MSC 공격이 유효한 것은 분명하다”면서 “APT 공격이 나날이 국지화되고 있어 기업이나 기관은 이상행위 탐지에 특화된 EDR 솔루션을 적극 도입할 필요가 있다”고 덧붙였다.
한편 GSC는 한국인터넷진흥원의 위협 인텔리전스 네트워크 및 국내외 주요 보안 관계자들과의 협력을 통해 민관 합동 대응을 진행한 바 있다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>