북 해커조직의 오토잇 정상프로그램 활용한 회피 전술의 코니 APT 캠페인
국세청 등 한국 정부기관 공식 도메인을 교묘히 사칭한 스피어 피싱 공격
[보안뉴스 김경애 기자] 최근 유포된 국세청 사칭 피싱 메일이 북한의 해킹 공격으로 드러났다. 마치 금융소득 및 세무조사 관련 안내처럼 위장한 공격으로, 국세청은 ‘세무조사 출석요구’ 등과 어떠한 경우에도 메일을 발송하지 않는다. 따라서 기관과 기업, 그리고 이용자들의 각별한 주의가 필요하다.
▲국공식 홈페이지 해킹메일 주의 안내 화면[자료=지니언스]
‘지니언스 시큐리티 센터: Genians Security Center(GSC)’는 “금융소득 및 세무조사 관련 안내처럼 위장한 코니(Konni) 공격이 꾸준히 이어지고 있다”며 “주요 타깃은 대북분야 종사자, 비트코인 등 가상자산 개인 거래자도 일부 존재한다”고 밝혔다.
과거에도 △세무조사 신고서류안내.zip △세무조사출석요구.zip △소명자료 제출요청 안내.zip △국세청 종합소득세 신고관련 해명자료 제출 안내.zip △부가가치세 과세표준증명원 제출 안내문.zip △개인정보수집이용동의서.zip 등 압축 내부에 악성 LNK 파일명으로 사칭한 악성파일이 발견된 바 있다.
▲공격에 쓰인 주요 키워드[자료=지니언스]
공격 시나리오(Attack Scenario)
이처럼 북한 해커조직의 공격은 전형적 이메일 기반 스피어 피싱(Spear Phishing) 공격으로 시작된다. 대체로 첨부된 ZIP 압축 내부에 악성 LNK 파일을 포함해 전달한다.
이메일 내에는 직접 첨부 뿐만 아니라 특정 웹 서버에 압축 파일을 등록한 후 URL 주소로 삽입한다. 물론 연결된 주소의 공식 여부를 비교해 확인할 수도 있다. 다만, 공격의 신뢰도를 높이기 위해 실제 국세청 홈택스 도메인(hometax.go[.]kr) 주소로 발신지를 정교하게 조작한 것은 각별히 주의해야 한다. 참고로 유사 공격 중에는 국세청 공식 도메인(nts.go[.]kr) 주소와 매우 흡사한 가짜 도메인(nta.co[.]kr) 주소가 쓰인 사례도 있다.
공격의 전체 위협 흐름을 살펴보면, 공격자는 마치 국세청이 발송한 탈세제보 신고에 따른 소명자료 제출 요청 안내처럼 위장하고 있다.
▲공격 시나리오 간략 흐름도(일부 ㅇㅇ처리)[자료=지니언스]
GSC 위협 인텔리전스 분석에 따르면, ‘탈세제보 신고에 따른 소명자료 제출 요청 안내.zip’ 파일 뿐만 아니라, 테마별로 여러 종류의 공격이 전개된 것으로 파악됐다. ‘북한 내부정보.zip’, ‘안녕하세요! oo재단입니다_20240502TS528974S.zip’ 이름 등 다양한 형태의 공격이 식별됐다.
위협 행위자는 △국세청 사칭 △탈북민 학생의 장학금 신청서 △북한시장 내부 동향 및 물가 문서처럼 위장한 내용도 사용했다.
▲실제 공격에 사용된 이메일 화면(일부 블러 처리)[자료=지니언스]
실제 공격에 사용된 이메일 화면을 살펴보면, 매우 정교하게 디자인된 것을 알 수 있다. 마치 국세청을 사칭해 탈세제보 신고에 따른 소명자료 제출 요청 안내처럼 위장한 사례의 경우 발신지가 ‘국세청’ 주소로 실제 홈택스 도메인과 같다는 것을 알 수 있다.
위협 행위자는 이메일 발송 서버를 구축해 발신지 도메인을 진짜처럼 위장할 수 있다. 따라서 발송된 이메일 도메인이 공식 주소와 일치하더라도 가짜로 조작될 수 있다는 점을 기억하고 주의해야 한다. 보통 초기 접근에 쓰인 이메일은 실제 통용되는 디자인을 모방해 공격에 활용한다. 따라서 평소 보던 디자인과 매우 흡사할 수 있다. 해당 사례의 경우 국세청 우편물 센터에서 보내온 발송 알림 서비스로 위장됐다.
국세청 사칭의 경우, 이메일 본문 하단에 포함된 ‘첨부문서’ 링크를 클릭할 경우 악성 파일이 다운로드된다. 먼저 ‘google-bidout-jp-d.openx[.]net’ 주소의 고유 식별자와 함께 ‘cammirando[.]com’ 서버로 연결된다. Base64로 인코딩된 수신자의 이메일 주소가 경로에 포함된다. 이를 통해 수신자의 접근 여부 등을 조회할 수 있다.
탈북민 학생 장학금 신청서 사칭의 경우, 이메일 상단에 마치 hwp와 pptx 문서가 첨부된 것처럼 보인다. 하지만 이는 마치 첨부 파일처럼 화면을 꾸민 것이고 실제로는 ‘search-education[.]com’ 주소로 연결된다. 별도로 이와 유사한 공격 사례 중에는 ‘nanocanas[.]com’ 도메인이 사용된 경우가 있고, 워드프레스(WordPress) 기반으로 구축된 것이 공통점이다.
GSC는 위협 헌팅과 시계열 분석을 통해 공격 시나리오별 순서를 파악했다. 초기 공격 시점에 국세청 사칭 공격을 다수 진행한다. 그 이후 위협에 노출된 단말 내부에 침투 잠복하고, 특정 피해자 상대로 주요 활동 분야를 관찰한다. 그 과정에서 탈북민 학생 장학금 신청업무 등을 파악해 또 다른 인물에게 접근했다.
각 lnk 바로가기 파일은 속성 내부에 하드코딩된 문자열에 의해 특정 명령제어(C2) 서버로 접근하고, 추가 파일을 다운로드 한다. 다운로드된 파일은 오토잇 ‘AutoIt3.exe’ 모듈과 ‘.au3’ 확장자의 컴파일된 오토잇 스크립트 코드다.
악성 파일 분석(Malware Analysis)
바로가기 파일을 통한 지능형지속위협(APT) 공격은 꾸준히 이어지고 있다. 위협 행위자들은 lnk 악성코드 자동 제작 도구까지 개발해 공격에 활용하고 있다.
▲압축 내부에 포함된 목록 화면[자료=지니언스]
먼저 국세청을 사칭해 배포됐던 ‘탈세제보 신고에 따른 소명자료 제출 요청 안내.zip’ 압축 내부에는 2개의 파일이 포함돼 있다.
그중에 ‘첨부1_소명자료 목록(탈세제보).hwp.lnk’ 파일이 문서로 위장한 이중 확장자인 것을 알 수 있다. 바로가기 파일의 내부 데이터를 파싱해 보면, PowerShell 명령을 통해 하드코딩된 미끼(Decoy)용 hwp 문서를 보여주게 된다.
해당 hwp 문서는 lnk 파일이 실행된 직후 동일 경로의 파일로 대체된다. 따라서 기존 바로가기형 악성 파일은 사라지고, 미끼용 정상 문서 내용이 실행된다.
▲악성파일 실행시 보여지는 정상 HWP 문서 파일[자료=지니언스]
미끼 문서 본문에는 국세징수법 시행규칙 별지 서식 표현과 함께 소명자료 목록 템플릿 내용이 담겨져 있어 외형상 정상 문서가 실행된 것처럼 착각하게 된다.
이와 동시에 C드라이브 루트 경로에 ‘QyvXzoE’ 폴더를 숨김 속성으로 만들고, 시스템 폴더 경로에 존재하는 ‘curl.exe’ 파일을 ‘QyvXzoE.exe’ 파일명으로 복사한다.
그리고 ‘phasechangesolutions[.]com’ C&C 주소로 접속해 ‘AutoIt3.exe’, ‘zXLGKyU.au3’ 파일을 다운로드 한다. 여기서 생성된 ‘zXLGKyU.au3’ 오토잇 스크립트 파일 내부에는 백신 프로그램 탐지나 분석을 방해하기 위해 더미 코드가 삽입돼 있다.
‘zXLGKyU.au3’ 파일은 위협 행위자가 시간차를 두고 공격하거나 목적 및 의도에 따라 파일을 변경할 수 있다. 또한 공격자는 Autoit-Ripper 도구를 통해 디컴파일(Decompile) 과정을 수행할 수 있고, 이를 통해 오토잇 스크립트 코드를 획득할 수 있다.
공격자는 2017년경 깃허브에 공개된 Lilith C++ ‘RAT(Remote Administration Tool)’ 소스코드를 오토잇 스크립트로 일부 변환해 사용했을 것으로 추정된다. Lilith RAT은 콘솔 기반 경량 RAT 종류로 원격 명령 실행이 가능하다.
▲C&C 원격 접속 시도 모습[자료=지니언스]
악성 오토잇 스크립트 명령이 호출되면 내부에 선언된 러시아 소재의 C&C 서버로 접속을 시도한다. 이때 중복 실행 방지용 뮤텍스명을 설정한다. 공격자는 ‘AutoIt3.exe’ 파일로 C&C 주소로 원격 접속을 시도한다.
이와 관련 GSC 문종현 이사는 “공격자가 백신 탐지 등을 피하기 위해 잘 알려지지 않은 ‘AutoIt3.exe’ 파일을 사용해 공격하는 것으로 보인다”며 “작업스케줄러에 ‘zXLGKyU’ 이름으로 트리거를 등록해 1분마다 무기한으로 반복 실행되도록 설정하고, 컴파일된 오토잇 스크립트가 작동하면, 내부 조건에 따라 작업 스케줄러 명령이 삭제될 수 있다. 이는 공격자가 추적을 피하기 위해 흔적을 지우기 위한 것으로 보인다”고 밝혔다.
[IMAGE12]
그리고 시작프로그램 위치에 ‘Start_Web.lnk’ 바로가기를 만들어 지속성을 유지하며, 러시아 소재의 C&C 서버와 통신을 시도해 추가 명령을 수행할 수 있다.
두 번째는 탈북민 학생 장학금 신청서로 위장된 사례다. 해당 공격은 특정 사단법인 재단 소속의 장학금 지원 담당자가 앞서 설명한 국세청 사칭 이메일 공격에 속아 내부 정보가 탈취된 후 진행된 후속 공격이다.
2024년 6월에 진행될 재단 이사회에서 탈북학생 장학금 추가지원에 대해 토의를 진행할 예정이라며, 장학금 신청서 양식을 보내는 방식으로 공격이 진행됐다.
이 공격은 침해된 장학금 담당자의 실제 이메일 계정이 도용됐고, 위협 행위자는 흔적을 지우기 위해 발신함에서 기록을 삭제하는 등 주도 면밀한 공격을 수행했다. 특히, 앞서 성공된 국세청 사칭 공격의 의심과 노출을 피하기 위해 마치 잘못 발송된 메일처럼 안내하는 과감한 적극성을 보인다.
▲발송 오류 안내로 위장된 화면 (일부 블러 처리)[자료=지니언스]
당시 안내 메일은 국세청 조사국을 사칭했는데, 얼핏 보기에 발신자가 국세청 공식 주소(nta.go[.]kr)와 유사하지만, 상위 도메인(TLD, SLD)을 자세히 살펴보면 ‘go.kr’ 주소가 아닌 ‘co.kr’ 도메인 주소로 전혀 다른 웹 사이트인 것을 알 수 있다.
그리고 ‘believeinsanta[.]com (162.241.253[.]27)’ 주소가 실제 발송지인 것을 알 수 있다. 아울러 유사 공격에 쓰인 발신지 중에 ‘balabushkapoolcues[.]com (162.241.216[.]224)’ 주소도 존재하는데, 두 곳 모두 블루호스트(bluehost[.]com)와 연결되는 공통점이 있다. 더불어 드림호스트(dreamhost[.]com) 활용 사례도 존재한다.
위협 행위자는 특정 경로에 메일 발송기를 구축해 주소를 임의 설정해 활용했다. 이처럼 이메일 발신자 조작 공격이 기술적으로 가능하다는 점을 명심하고, 수상한 첨부파일은 접근하기 전에 전화 등으로 사실확인을 진행하는 노력이 필요하다.
초기 공격에는 여러 C&C 서버가 사용됐으며, 악성 파일 전달에 쓰였다. 마치 탈북학생 장학금 신청서로 위장한 공격 역시 국세청 사칭 때와 동일하게 zip 압축 파일 내부에 정상 문서와 ‘이중 확장자의 바로가기(hwp.lnk)’ 악성 파일이 포함돼 있다. zip 압축 내부 ‘ㅇㅇ재단_24년도장학금신청서.hwp.lnk’ 파일로 공격이 수행됐다.
파일 내부 구조는 앞서 살펴본 ‘첨부1_소명자료 목록(탈세제보).hwp.lnk’ 형태에서 구문 분석 방해 목적의 무작위 난독화 문자열 삽입 등 일부 변형됐지만, C&C 서버 주소가 정확히 일치한 것을 볼 수 있다. 여기서 오토잇 스크립트 다운로드 대상 폴더의 이름은 변경됐지만, 국세청 사칭 건과 동일한 스크립트가 생성된다.
대응방법(Conclusion)
lnk 바로가기를 이용한 공격은 3분기에도 유효한 상황이다. 위협 행위자들은 내부 공격 패턴을 계속 바꿔가며, 탐지 우회를 시도하고 있다.
단말 초기 침투에 성공할 경우 컴파일된 오토잇(AutoIt) 스크립트를 추가 설치해 지속성 유지 및 내부 잠복에 적극 활용하고 있다.
오토잇을 이용한 공격이 백신 프로그램 패턴 탐지 회피에 악용되는 만큼, 기업과 기관에서는 단말 이상행위 자체를 탐지하는 적절한 대응방안이 필요하다.
GSC는 이번 위협과 관련해 Genian EDR 제품을 통해 가상의 모의 침투 과정과 위협 대응을 수행했다. 오토잇을 통한 위협이 증가 추세이므로, EDR을 통해 조기 탐지 및 능동적 대응이 필요한 시점이다.
Genian EDR 서버는 오토잇 프로세스(AutoIt3.exe)에 의해 실행된 커맨드 라인 내용과 연관 이벤트 내용을 수집 보관해 보안 관리자가 편리하게 가시성 위협 요소를 확인할 수 있다. 이를 통해 어떤 경로에 위협 요소가 존재하는지 빠른 식별이 용이하고, 의심 행위를 수행한 프로세스 상관관계를 조회할 수 있다. 또한, 네트워크 연결 이력 조회를 통해 C&C 정보를 육안으로 즉시 파악할 수 있다.
공격 스토리 라인을 통해 악성 파일의 실행 흐름을 일목요연하게 파악할 수 있으며, ‘cmd.exe’, ‘powershell.exe’ 커맨드를 통해 작동한 개별 이벤트 확인도 가능하다. 더불어 숨김 속성 설정을 위해 사용한 명령과 네트워크 통신 과정을 조회할 수 있다.
위협 모니터링을 통해 내부 단말에서 발생한 이상행위 내역을 종합해 대응할 수 있다. 특히, 다수 단말에서 발생한 이상행위 TOP 10을 별도로 제공하고, 어떤 위협 요소가 탐지됐는지 자세한 설명을 제공한다.
분석 보고서 내에서 확인된 파일명과 하단의 침해 지표를 대시보드로 구현해 최근 일주일 또는 한달 동안 위협 의심 이벤트를 쉽게 확인할 수 있다.
실시간으로 수집한 다양한 이벤트를 분석할 수 있는 대시보드에는 일주일 또는 한달 동안 C&C IP 접속 이력을 확인할 수 있다.
더불어 송수신 데이터량, C&C IP로 접속한 프로그램과 사용된 포트 정보, 침해 지표에 해당하는 파일 존재 유무 및 위치와 실행 여부, 주요 명령어 등 다양한 정보를 손쉽게 확인할 수 있다. 이를 통해 내부 시스템에 유사 위협이 존재했었는지 파악할 수 있다.
이번 보고서에 기술된 코니(Konni) 캠페인은 대북분야 뿐만 아니라, 가상자산 거래 관계자들까지 폭넓게 공격을 수행하고 있다. 참고로 해당 위협의 배후로 김수키(Kimsuky) 그룹과 직간접 연계 가능성이 높은 것으로 알려져 있다. 오토잇 스크립트를 이용하는 등 국가배후 위협그룹은 단말에 설치된 백신 프로그램 탐지 회피를 위한 다양한 시도를 하고 있다. 따라서 최신 공격 동향을 참고해 유사한 위협에 노출되지 않도록 보안 강화에 더 많은 관심과 노력을 기울여야 한다.
백신프로그램과 방화벽 등 단말내 1차 방어선이 무력화됐더라도 EDR 에이전트가 설치된 경우 보안 관리자가 빠르게 이상행위를 인지하고 추가 분석 및 조치를 수행할 수 있다. 이처럼 다계층 보안 시스템을 구축해 안전한 네트워크 환경을 유지할 수 있다.
[김경애 기자(boan3@boannews.com)]
국세청 등 한국 정부기관 공식 도메인을 교묘히 사칭한 스피어 피싱 공격
[보안뉴스 김경애 기자] 최근 유포된 국세청 사칭 피싱 메일이 북한의 해킹 공격으로 드러났다. 마치 금융소득 및 세무조사 관련 안내처럼 위장한 공격으로, 국세청은 ‘세무조사 출석요구’ 등과 어떠한 경우에도 메일을 발송하지 않는다. 따라서 기관과 기업, 그리고 이용자들의 각별한 주의가 필요하다.
▲국공식 홈페이지 해킹메일 주의 안내 화면[자료=지니언스]
‘지니언스 시큐리티 센터: Genians Security Center(GSC)’는 “금융소득 및 세무조사 관련 안내처럼 위장한 코니(Konni) 공격이 꾸준히 이어지고 있다”며 “주요 타깃은 대북분야 종사자, 비트코인 등 가상자산 개인 거래자도 일부 존재한다”고 밝혔다.
과거에도 △세무조사 신고서류안내.zip △세무조사출석요구.zip △소명자료 제출요청 안내.zip △국세청 종합소득세 신고관련 해명자료 제출 안내.zip △부가가치세 과세표준증명원 제출 안내문.zip △개인정보수집이용동의서.zip 등 압축 내부에 악성 LNK 파일명으로 사칭한 악성파일이 발견된 바 있다.
▲공격에 쓰인 주요 키워드[자료=지니언스]
공격 시나리오(Attack Scenario)
이처럼 북한 해커조직의 공격은 전형적 이메일 기반 스피어 피싱(Spear Phishing) 공격으로 시작된다. 대체로 첨부된 ZIP 압축 내부에 악성 LNK 파일을 포함해 전달한다.
이메일 내에는 직접 첨부 뿐만 아니라 특정 웹 서버에 압축 파일을 등록한 후 URL 주소로 삽입한다. 물론 연결된 주소의 공식 여부를 비교해 확인할 수도 있다. 다만, 공격의 신뢰도를 높이기 위해 실제 국세청 홈택스 도메인(hometax.go[.]kr) 주소로 발신지를 정교하게 조작한 것은 각별히 주의해야 한다. 참고로 유사 공격 중에는 국세청 공식 도메인(nts.go[.]kr) 주소와 매우 흡사한 가짜 도메인(nta.co[.]kr) 주소가 쓰인 사례도 있다.
공격의 전체 위협 흐름을 살펴보면, 공격자는 마치 국세청이 발송한 탈세제보 신고에 따른 소명자료 제출 요청 안내처럼 위장하고 있다.
▲공격 시나리오 간략 흐름도(일부 ㅇㅇ처리)[자료=지니언스]
GSC 위협 인텔리전스 분석에 따르면, ‘탈세제보 신고에 따른 소명자료 제출 요청 안내.zip’ 파일 뿐만 아니라, 테마별로 여러 종류의 공격이 전개된 것으로 파악됐다. ‘북한 내부정보.zip’, ‘안녕하세요! oo재단입니다_20240502TS528974S.zip’ 이름 등 다양한 형태의 공격이 식별됐다.
위협 행위자는 △국세청 사칭 △탈북민 학생의 장학금 신청서 △북한시장 내부 동향 및 물가 문서처럼 위장한 내용도 사용했다.
▲실제 공격에 사용된 이메일 화면(일부 블러 처리)[자료=지니언스]
실제 공격에 사용된 이메일 화면을 살펴보면, 매우 정교하게 디자인된 것을 알 수 있다. 마치 국세청을 사칭해 탈세제보 신고에 따른 소명자료 제출 요청 안내처럼 위장한 사례의 경우 발신지가 ‘국세청
위협 행위자는 이메일 발송 서버를 구축해 발신지 도메인을 진짜처럼 위장할 수 있다. 따라서 발송된 이메일 도메인이 공식 주소와 일치하더라도 가짜로 조작될 수 있다는 점을 기억하고 주의해야 한다. 보통 초기 접근에 쓰인 이메일은 실제 통용되는 디자인을 모방해 공격에 활용한다. 따라서 평소 보던 디자인과 매우 흡사할 수 있다. 해당 사례의 경우 국세청 우편물 센터에서 보내온 발송 알림 서비스로 위장됐다.
국세청 사칭의 경우, 이메일 본문 하단에 포함된 ‘첨부문서’ 링크를 클릭할 경우 악성 파일이 다운로드된다. 먼저 ‘google-bidout-jp-d.openx[.]net’ 주소의 고유 식별자와 함께 ‘cammirando[.]com’ 서버로 연결된다. Base64로 인코딩된 수신자의 이메일 주소가 경로에 포함된다. 이를 통해 수신자의 접근 여부 등을 조회할 수 있다.
탈북민 학생 장학금 신청서 사칭의 경우, 이메일 상단에 마치 hwp와 pptx 문서가 첨부된 것처럼 보인다. 하지만 이는 마치 첨부 파일처럼 화면을 꾸민 것이고 실제로는 ‘search-education[.]com’ 주소로 연결된다. 별도로 이와 유사한 공격 사례 중에는 ‘nanocanas[.]com’ 도메인이 사용된 경우가 있고, 워드프레스(WordPress) 기반으로 구축된 것이 공통점이다.
GSC는 위협 헌팅과 시계열 분석을 통해 공격 시나리오별 순서를 파악했다. 초기 공격 시점에 국세청 사칭 공격을 다수 진행한다. 그 이후 위협에 노출된 단말 내부에 침투 잠복하고, 특정 피해자 상대로 주요 활동 분야를 관찰한다. 그 과정에서 탈북민 학생 장학금 신청업무 등을 파악해 또 다른 인물에게 접근했다.
각 lnk 바로가기 파일은 속성 내부에 하드코딩된 문자열에 의해 특정 명령제어(C2) 서버로 접근하고, 추가 파일을 다운로드 한다. 다운로드된 파일은 오토잇 ‘AutoIt3.exe’ 모듈과 ‘.au3’ 확장자의 컴파일된 오토잇 스크립트 코드다.
악성 파일 분석(Malware Analysis)
바로가기 파일을 통한 지능형지속위협(APT) 공격은 꾸준히 이어지고 있다. 위협 행위자들은 lnk 악성코드 자동 제작 도구까지 개발해 공격에 활용하고 있다.
▲압축 내부에 포함된 목록 화면[자료=지니언스]
먼저 국세청을 사칭해 배포됐던 ‘탈세제보 신고에 따른 소명자료 제출 요청 안내.zip’ 압축 내부에는 2개의 파일이 포함돼 있다.
그중에 ‘첨부1_소명자료 목록(탈세제보).hwp.lnk’ 파일이 문서로 위장한 이중 확장자인 것을 알 수 있다. 바로가기 파일의 내부 데이터를 파싱해 보면, PowerShell 명령을 통해 하드코딩된 미끼(Decoy)용 hwp 문서를 보여주게 된다.
해당 hwp 문서는 lnk 파일이 실행된 직후 동일 경로의 파일로 대체된다. 따라서 기존 바로가기형 악성 파일은 사라지고, 미끼용 정상 문서 내용이 실행된다.
▲악성파일 실행시 보여지는 정상 HWP 문서 파일[자료=지니언스]
미끼 문서 본문에는 국세징수법 시행규칙 별지 서식 표현과 함께 소명자료 목록 템플릿 내용이 담겨져 있어 외형상 정상 문서가 실행된 것처럼 착각하게 된다.
이와 동시에 C드라이브 루트 경로에 ‘QyvXzoE’ 폴더를 숨김 속성으로 만들고, 시스템 폴더 경로에 존재하는 ‘curl.exe’ 파일을 ‘QyvXzoE.exe’ 파일명으로 복사한다.
그리고 ‘phasechangesolutions[.]com’ C&C 주소로 접속해 ‘AutoIt3.exe’, ‘zXLGKyU.au3’ 파일을 다운로드 한다. 여기서 생성된 ‘zXLGKyU.au3’ 오토잇 스크립트 파일 내부에는 백신 프로그램 탐지나 분석을 방해하기 위해 더미 코드가 삽입돼 있다.
‘zXLGKyU.au3’ 파일은 위협 행위자가 시간차를 두고 공격하거나 목적 및 의도에 따라 파일을 변경할 수 있다. 또한 공격자는 Autoit-Ripper 도구를 통해 디컴파일(Decompile) 과정을 수행할 수 있고, 이를 통해 오토잇 스크립트 코드를 획득할 수 있다.
공격자는 2017년경 깃허브에 공개된 Lilith C++ ‘RAT(Remote Administration Tool)’ 소스코드를 오토잇 스크립트로 일부 변환해 사용했을 것으로 추정된다. Lilith RAT은 콘솔 기반 경량 RAT 종류로 원격 명령 실행이 가능하다.
▲C&C 원격 접속 시도 모습[자료=지니언스]
악성 오토잇 스크립트 명령이 호출되면 내부에 선언된 러시아 소재의 C&C 서버로 접속을 시도한다. 이때 중복 실행 방지용 뮤텍스명을 설정한다. 공격자는 ‘AutoIt3.exe’ 파일로 C&C 주소로 원격 접속을 시도한다.
이와 관련 GSC 문종현 이사는 “공격자가 백신 탐지 등을 피하기 위해 잘 알려지지 않은 ‘AutoIt3.exe’ 파일을 사용해 공격하는 것으로 보인다”며 “작업스케줄러에 ‘zXLGKyU’ 이름으로 트리거를 등록해 1분마다 무기한으로 반복 실행되도록 설정하고, 컴파일된 오토잇 스크립트가 작동하면, 내부 조건에 따라 작업 스케줄러 명령이 삭제될 수 있다. 이는 공격자가 추적을 피하기 위해 흔적을 지우기 위한 것으로 보인다”고 밝혔다.
[IMAGE12]
그리고 시작프로그램 위치에 ‘Start_Web.lnk’ 바로가기를 만들어 지속성을 유지하며, 러시아 소재의 C&C 서버와 통신을 시도해 추가 명령을 수행할 수 있다.
두 번째는 탈북민 학생 장학금 신청서로 위장된 사례다. 해당 공격은 특정 사단법인 재단 소속의 장학금 지원 담당자가 앞서 설명한 국세청 사칭 이메일 공격에 속아 내부 정보가 탈취된 후 진행된 후속 공격이다.
2024년 6월에 진행될 재단 이사회에서 탈북학생 장학금 추가지원에 대해 토의를 진행할 예정이라며, 장학금 신청서 양식을 보내는 방식으로 공격이 진행됐다.
이 공격은 침해된 장학금 담당자의 실제 이메일 계정이 도용됐고, 위협 행위자는 흔적을 지우기 위해 발신함에서 기록을 삭제하는 등 주도 면밀한 공격을 수행했다. 특히, 앞서 성공된 국세청 사칭 공격의 의심과 노출을 피하기 위해 마치 잘못 발송된 메일처럼 안내하는 과감한 적극성을 보인다.
▲발송 오류 안내로 위장된 화면 (일부 블러 처리)[자료=지니언스]
당시 안내 메일은 국세청 조사국을 사칭했는데, 얼핏 보기에 발신자가 국세청 공식 주소(nta.go[.]kr)와 유사하지만, 상위 도메인(TLD, SLD)을 자세히 살펴보면 ‘go.kr’ 주소가 아닌 ‘co.kr’ 도메인 주소로 전혀 다른 웹 사이트인 것을 알 수 있다.
그리고 ‘believeinsanta[.]com (162.241.253[.]27)’ 주소가 실제 발송지인 것을 알 수 있다. 아울러 유사 공격에 쓰인 발신지 중에 ‘balabushkapoolcues[.]com (162.241.216[.]224)’ 주소도 존재하는데, 두 곳 모두 블루호스트(bluehost[.]com)와 연결되는 공통점이 있다. 더불어 드림호스트(dreamhost[.]com) 활용 사례도 존재한다.
위협 행위자는 특정 경로에 메일 발송기를 구축해 주소를 임의 설정해 활용했다. 이처럼 이메일 발신자 조작 공격이 기술적으로 가능하다는 점을 명심하고, 수상한 첨부파일은 접근하기 전에 전화 등으로 사실확인을 진행하는 노력이 필요하다.
초기 공격에는 여러 C&C 서버가 사용됐으며, 악성 파일 전달에 쓰였다. 마치 탈북학생 장학금 신청서로 위장한 공격 역시 국세청 사칭 때와 동일하게 zip 압축 파일 내부에 정상 문서와 ‘이중 확장자의 바로가기(hwp.lnk)’ 악성 파일이 포함돼 있다. zip 압축 내부 ‘ㅇㅇ재단_24년도장학금신청서.hwp.lnk’ 파일로 공격이 수행됐다.
파일 내부 구조는 앞서 살펴본 ‘첨부1_소명자료 목록(탈세제보).hwp.lnk’ 형태에서 구문 분석 방해 목적의 무작위 난독화 문자열 삽입 등 일부 변형됐지만, C&C 서버 주소가 정확히 일치한 것을 볼 수 있다. 여기서 오토잇 스크립트 다운로드 대상 폴더의 이름은 변경됐지만, 국세청 사칭 건과 동일한 스크립트가 생성된다.
대응방법(Conclusion)
lnk 바로가기를 이용한 공격은 3분기에도 유효한 상황이다. 위협 행위자들은 내부 공격 패턴을 계속 바꿔가며, 탐지 우회를 시도하고 있다.
단말 초기 침투에 성공할 경우 컴파일된 오토잇(AutoIt) 스크립트를 추가 설치해 지속성 유지 및 내부 잠복에 적극 활용하고 있다.
오토잇을 이용한 공격이 백신 프로그램 패턴 탐지 회피에 악용되는 만큼, 기업과 기관에서는 단말 이상행위 자체를 탐지하는 적절한 대응방안이 필요하다.
GSC는 이번 위협과 관련해 Genian EDR 제품을 통해 가상의 모의 침투 과정과 위협 대응을 수행했다. 오토잇을 통한 위협이 증가 추세이므로, EDR을 통해 조기 탐지 및 능동적 대응이 필요한 시점이다.
Genian EDR 서버는 오토잇 프로세스(AutoIt3.exe)에 의해 실행된 커맨드 라인 내용과 연관 이벤트 내용을 수집 보관해 보안 관리자가 편리하게 가시성 위협 요소를 확인할 수 있다. 이를 통해 어떤 경로에 위협 요소가 존재하는지 빠른 식별이 용이하고, 의심 행위를 수행한 프로세스 상관관계를 조회할 수 있다. 또한, 네트워크 연결 이력 조회를 통해 C&C 정보를 육안으로 즉시 파악할 수 있다.
공격 스토리 라인을 통해 악성 파일의 실행 흐름을 일목요연하게 파악할 수 있으며, ‘cmd.exe’, ‘powershell.exe’ 커맨드를 통해 작동한 개별 이벤트 확인도 가능하다. 더불어 숨김 속성 설정을 위해 사용한 명령과 네트워크 통신 과정을 조회할 수 있다.
위협 모니터링을 통해 내부 단말에서 발생한 이상행위 내역을 종합해 대응할 수 있다. 특히, 다수 단말에서 발생한 이상행위 TOP 10을 별도로 제공하고, 어떤 위협 요소가 탐지됐는지 자세한 설명을 제공한다.
분석 보고서 내에서 확인된 파일명과 하단의 침해 지표를 대시보드로 구현해 최근 일주일 또는 한달 동안 위협 의심 이벤트를 쉽게 확인할 수 있다.
실시간으로 수집한 다양한 이벤트를 분석할 수 있는 대시보드에는 일주일 또는 한달 동안 C&C IP 접속 이력을 확인할 수 있다.
더불어 송수신 데이터량, C&C IP로 접속한 프로그램과 사용된 포트 정보, 침해 지표에 해당하는 파일 존재 유무 및 위치와 실행 여부, 주요 명령어 등 다양한 정보를 손쉽게 확인할 수 있다. 이를 통해 내부 시스템에 유사 위협이 존재했었는지 파악할 수 있다.
이번 보고서에 기술된 코니(Konni) 캠페인은 대북분야 뿐만 아니라, 가상자산 거래 관계자들까지 폭넓게 공격을 수행하고 있다. 참고로 해당 위협의 배후로 김수키(Kimsuky) 그룹과 직간접 연계 가능성이 높은 것으로 알려져 있다. 오토잇 스크립트를 이용하는 등 국가배후 위협그룹은 단말에 설치된 백신 프로그램 탐지 회피를 위한 다양한 시도를 하고 있다. 따라서 최신 공격 동향을 참고해 유사한 위협에 노출되지 않도록 보안 강화에 더 많은 관심과 노력을 기울여야 한다.
백신프로그램과 방화벽 등 단말내 1차 방어선이 무력화됐더라도 EDR 에이전트가 설치된 경우 보안 관리자가 빠르게 이상행위를 인지하고 추가 분석 및 조치를 수행할 수 있다. 이처럼 다계층 보안 시스템을 구축해 안전한 네트워크 환경을 유지할 수 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
