2019년 1월 18일 ‘작전명 홀리데이 와이퍼’ 발견...2018년 8월 작전명 ‘로켓 맨’ 변종 추정
ESRC, 치밀하게 준비된 APT 공격으로 정의...KISA와 협조하며 대응
[보안뉴스 원병철 기자] 약 10일 앞으로 다가온 설 연휴를 노린 심리기반 스피어피싱(Spear Phishing) 공격이 발견돼 사용자들의 주의를 주고 있다. 특히 이번 공격은 치밀하게 준비된 작전으로 보이며, 2018년 8월 <보안뉴스>가 보도했던 ‘작전명 로켓 맨’ 공격의 변종으로 분석됐다.
[이미지=iclickart]
이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)는 2019년 1월 18일 제작된 새로운 로켓맨 캠페인 변종을 발견했다고 밝혔다. 이 공격은 작전명 로켓 맨 공격의 HWP 문서 파일 취약점 대신 MS Office XLS 문서파일 취약점을 악용했다. 악성파일은 ‘홍삼6품단가 .xlsx’이란 파일명으로, 곧 다가오는 한국의 설연휴 시즌을 사회공학적 기법과 교묘히 결합해 심리기반 스피어피싱(Spear Phishing) 공격에 활용될 것으로 보인다.
▲로켓맨 작전에서 사용된 HWP 문서파일에 등록된 HighExpert[자료=ESRC]
흥미로운 점은 기존 HWP 문서파일에서 발견됐던 ‘HighExpert’ 계정이 이번 공격에도 동일하게 사용되었다는 점이며, 추가로 생성되는 악성 EXE 파일도 예전 공격에 이용된 것과 마찬가지로 한국의 N 포털사 보안 프로그램 아이콘으로 위장하고 있다.
2018년 당시 ‘로켓맨’ APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행됐다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했다. APT 공격에 사용된 ┖통지.HWP┖ 취약점 파일에는 제작자와 마지막 수정자 모두 ‘HighExpert’ 계정이 사용됐다. ESRC에서는 해당 위협 조직을 특정 정부가 지원하는 국가차원의 해킹그룹으로 분류했고, ‘금성121(Geumseong121)’로 칭했었다.
이번 악성 문서의 만든 이는 ‘RKS’로 지정되어 있고, 마지막으로 수정한 사람에 ‘HighExpert’ 아이디가 포함되어 있다. ESRC는 이번 공격에 활용된 코드 중에 설연휴 선물 시즌과 시스템을 파괴하는 기능의 파일명 등을 조합해 ‘작전명 홀리데이 와이퍼(Operation Holiday Wiper)’로 이름 지었다.
▲HighExpert 계정이 포함된 화면[자료=ESRC]
‘홍삼6품단가 .xlsx’ 문서파일은 실행할 경우 다음과 같이 홍삼 제품관련 단가 리스트가 보이며, 일부 문자가 깨져있다. 그리고 본문 하단에는 ‘글자가 깨여지면 위에 있는 콘텐츠허용 버튼을 눌러보세요.’라는 빨간색 글자로 [콘텐츠 사용] 버튼 클릭을 유도하고 있다.
▲악성문서 ‘홍삼6품단가 .xlsx’ 파일이 실행된 화면[자료=ESRC]
여기서 사용된 문구 중에 ‘깨여지면’이라는 단어는 사실 한국적 표현(깨지면)보다는 북한에서 사용하는 표현에 가깝다. 아래는 실제 북한에서 사용 중인 표현 방식 중 일부다.
▲북한에서 사용 중인 표현 방식[자료=ESRC]
코드기반 공격 벡터 분석
스피어피싱 해킹 메일을 수신한 사람이 만약 해당 파일을 다운로드해, [콘텐츠 사용] 버튼을 누르게 되면, MS 오피스 버전과 설정에 따라 다음과 같이 보안 경고 창이 나타나기도 한다. 이때 만약 [예(Y)] 버튼을 누르게 되면 악의적인 매크로 코드가 작동하게 된다.
보안상 취약한 코드가 작동을 하게 되면, XLS 내부에 포함되어 있는 익스터널 링크 코드가 작동하고, 그 다음에 파워쉘 임포트 모듈 명령을 통해 한국의 의료관련 특정 웹 사이트로 접속해 추가 악성파일을 다운로드하고 실행한다. 다운로드될 때 악성코드는 %temp% 폴더 경로에 ‘aqq.exe’란 파일명으로 생성된다.
▲악성 파워쉘 명령을 통한 추가 페이로드 다운로드 코드 화면[자료=ESRC]
임시폴더 경로에 생성된 파일은 기존 ‘로켓맨 작전’에서 사용된 것과 동일하게 한국의 포털 사 보안 프로그램 아이콘으로 위장한 것이 특징이다.
▲악성코드가 사용한 아이콘과 한국 포털사 보안 프로그램의 이미지 비교[자료=ESRC]
한국의 유명 포털사 보안프로그램 아이콘으로 위장한 악성코드는 2019년 1월 17일 오후 3시 41분 경 제작됐으며, 해킹된 것으로 추정되는 한국의 의료관련 웹 사이트(C2)와 통신을 시도한다. 추가 통신과 명령이 정상적으로 수행되면 ‘U3.conf’, ‘U4.conf’, ‘defaults.conf’ 파일 등이 추가로 다운로드 된다.
이번 공격에 사용된 악성코드 내부에서도 기존과 동일하게 ‘Rocket’ 경로가 발견됐다.
▲Rocket PDB가 포함되어 있는 화면[자료=ESRC]
- E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debuget35\Pubnub.pdb
‘U.conf’ 파일이 메인 숙주이며, 이 파일은 2019년 1월 17일 수정이 된 것을 알 수 있습니다. 이 파일에 의해서 추가 파일이 다운로드되는 과정을 거친다.
▲악성코드가 다운로드되는 패킷 화면[자료=ESRC]
추가로 다운로드되는 파일들은 기존 로켓맨 공격과 유사하게 닷넷 기반으로 프로그래밍된 악성코드가 사용됐으며, 이 코드들은 2018년 12월 11일 제작된 것으로 분석됐다.
공격자는 이번에도 해킹된 특정 웹 사이트에 암호화된 통신 명령 파일을 등록해 두었고, 서비스로서의 인프라스트럭처(Infrastructure as a Service)의 하나인 퍼브너브(PubNub) 채널로 명령제어(C2)통신을 시도한다.
암호화된 코드를 복호화하면 다음과 같이 PubNub 사이트로 통신하는 코드가 확인된다.
ps.pndsn.compeihesub-c-66d9ea22-fb4a-11e8-b809-8ee1f208b3b7pub-c-9eca65af-bfd9-4759-8dbe-bedf6b710673sec-c-N2YyZmZlYzQtOWI2MS00NjU2LWI0ZTktMzU0MTMzZGE1ZDhmcip-c-yougotthekeyplease9738
공격자 명령에 따라 파일 삭제 등 시스템 파괴(Wiper) 명령 수행
공격자는 PubNub 사이트를 통해 감염된 시스템 중 조건에 따라 폴더와 파일을 삭제하는 기능의 추가 명령을 내리기도 한다. 따라서 공격자가 지정한 시스템의 경우 주요 데이터가 파괴되는 피해를 입을 수도 있다.
▲폴더와 파일 삭제 기능 코드 화면[ESRC]
ESRC는 이번 APT 공격이 치밀하게 준비된 공격 중에 하나로 보고 있으며, 한국인터넷진흥원(KISA) 등과 긴밀하게 협조하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
ESRC, 치밀하게 준비된 APT 공격으로 정의...KISA와 협조하며 대응
[보안뉴스 원병철 기자] 약 10일 앞으로 다가온 설 연휴를 노린 심리기반 스피어피싱(Spear Phishing) 공격이 발견돼 사용자들의 주의를 주고 있다. 특히 이번 공격은 치밀하게 준비된 작전으로 보이며, 2018년 8월 <보안뉴스>가 보도했던 ‘작전명 로켓 맨’ 공격의 변종으로 분석됐다.
[이미지=iclickart]
이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)는 2019년 1월 18일 제작된 새로운 로켓맨 캠페인 변종을 발견했다고 밝혔다. 이 공격은 작전명 로켓 맨 공격의 HWP 문서 파일 취약점 대신 MS Office XLS 문서파일 취약점을 악용했다. 악성파일은 ‘홍삼6품단가 .xlsx’이란 파일명으로, 곧 다가오는 한국의 설연휴 시즌을 사회공학적 기법과 교묘히 결합해 심리기반 스피어피싱(Spear Phishing) 공격에 활용될 것으로 보인다.
▲로켓맨 작전에서 사용된 HWP 문서파일에 등록된 HighExpert[자료=ESRC]
흥미로운 점은 기존 HWP 문서파일에서 발견됐던 ‘HighExpert’ 계정이 이번 공격에도 동일하게 사용되었다는 점이며, 추가로 생성되는 악성 EXE 파일도 예전 공격에 이용된 것과 마찬가지로 한국의 N 포털사 보안 프로그램 아이콘으로 위장하고 있다.
2018년 당시 ‘로켓맨’ APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행됐다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했다. APT 공격에 사용된 ┖통지.HWP┖ 취약점 파일에는 제작자와 마지막 수정자 모두 ‘HighExpert’ 계정이 사용됐다. ESRC에서는 해당 위협 조직을 특정 정부가 지원하는 국가차원의 해킹그룹으로 분류했고, ‘금성121(Geumseong121)’로 칭했었다.
이번 악성 문서의 만든 이는 ‘RKS’로 지정되어 있고, 마지막으로 수정한 사람에 ‘HighExpert’ 아이디가 포함되어 있다. ESRC는 이번 공격에 활용된 코드 중에 설연휴 선물 시즌과 시스템을 파괴하는 기능의 파일명 등을 조합해 ‘작전명 홀리데이 와이퍼(Operation Holiday Wiper)’로 이름 지었다.
▲HighExpert 계정이 포함된 화면[자료=ESRC]
‘홍삼6품단가 .xlsx’ 문서파일은 실행할 경우 다음과 같이 홍삼 제품관련 단가 리스트가 보이며, 일부 문자가 깨져있다. 그리고 본문 하단에는 ‘글자가 깨여지면 위에 있는 콘텐츠허용 버튼을 눌러보세요.’라는 빨간색 글자로 [콘텐츠 사용] 버튼 클릭을 유도하고 있다.
▲악성문서 ‘홍삼6품단가 .xlsx’ 파일이 실행된 화면[자료=ESRC]
여기서 사용된 문구 중에 ‘깨여지면’이라는 단어는 사실 한국적 표현(깨지면)보다는 북한에서 사용하는 표현에 가깝다. 아래는 실제 북한에서 사용 중인 표현 방식 중 일부다.
▲북한에서 사용 중인 표현 방식[자료=ESRC]
코드기반 공격 벡터 분석
스피어피싱 해킹 메일을 수신한 사람이 만약 해당 파일을 다운로드해, [콘텐츠 사용] 버튼을 누르게 되면, MS 오피스 버전과 설정에 따라 다음과 같이 보안 경고 창이 나타나기도 한다. 이때 만약 [예(Y)] 버튼을 누르게 되면 악의적인 매크로 코드가 작동하게 된다.
보안상 취약한 코드가 작동을 하게 되면, XLS 내부에 포함되어 있는 익스터널 링크 코드가 작동하고, 그 다음에 파워쉘 임포트 모듈 명령을 통해 한국의 의료관련 특정 웹 사이트로 접속해 추가 악성파일을 다운로드하고 실행한다. 다운로드될 때 악성코드는 %temp% 폴더 경로에 ‘aqq.exe’란 파일명으로 생성된다.
▲악성 파워쉘 명령을 통한 추가 페이로드 다운로드 코드 화면[자료=ESRC]
임시폴더 경로에 생성된 파일은 기존 ‘로켓맨 작전’에서 사용된 것과 동일하게 한국의 포털 사 보안 프로그램 아이콘으로 위장한 것이 특징이다.
▲악성코드가 사용한 아이콘과 한국 포털사 보안 프로그램의 이미지 비교[자료=ESRC]
한국의 유명 포털사 보안프로그램 아이콘으로 위장한 악성코드는 2019년 1월 17일 오후 3시 41분 경 제작됐으며, 해킹된 것으로 추정되는 한국의 의료관련 웹 사이트(C2)와 통신을 시도한다. 추가 통신과 명령이 정상적으로 수행되면 ‘U3.conf’, ‘U4.conf’, ‘defaults.conf’ 파일 등이 추가로 다운로드 된다.
이번 공격에 사용된 악성코드 내부에서도 기존과 동일하게 ‘Rocket’ 경로가 발견됐다.
▲Rocket PDB가 포함되어 있는 화면[자료=ESRC]
- E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debuget35\Pubnub.pdb
‘U.conf’ 파일이 메인 숙주이며, 이 파일은 2019년 1월 17일 수정이 된 것을 알 수 있습니다. 이 파일에 의해서 추가 파일이 다운로드되는 과정을 거친다.
▲악성코드가 다운로드되는 패킷 화면[자료=ESRC]
추가로 다운로드되는 파일들은 기존 로켓맨 공격과 유사하게 닷넷 기반으로 프로그래밍된 악성코드가 사용됐으며, 이 코드들은 2018년 12월 11일 제작된 것으로 분석됐다.
공격자는 이번에도 해킹된 특정 웹 사이트에 암호화된 통신 명령 파일을 등록해 두었고, 서비스로서의 인프라스트럭처(Infrastructure as a Service)의 하나인 퍼브너브(PubNub) 채널로 명령제어(C2)통신을 시도한다.
암호화된 코드를 복호화하면 다음과 같이 PubNub 사이트로 통신하는 코드가 확인된다.
ps.pndsn.compeihesub-c-66d9ea22-fb4a-11e8-b809-8ee1f208b3b7pub-c-9eca65af-bfd9-4759-8dbe-bedf6b710673sec-c-N2YyZmZlYzQtOWI2MS00NjU2LWI0ZTktMzU0MTMzZGE1ZDhmcip-c-yougotthekeyplease9738
공격자 명령에 따라 파일 삭제 등 시스템 파괴(Wiper) 명령 수행
공격자는 PubNub 사이트를 통해 감염된 시스템 중 조건에 따라 폴더와 파일을 삭제하는 기능의 추가 명령을 내리기도 한다. 따라서 공격자가 지정한 시스템의 경우 주요 데이터가 파괴되는 피해를 입을 수도 있다.
▲폴더와 파일 삭제 기능 코드 화면[ESRC]
ESRC는 이번 APT 공격이 치밀하게 준비된 공격 중에 하나로 보고 있으며, 한국인터넷진흥원(KISA) 등과 긴밀하게 협조하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
