ESRC, 북한 추정 사이버 공격그룹 금성 121 추적보고서 ‘오퍼레이션 하이 엑스퍼트’
한국 대북단체, 외교, 안보, 통일, 국방분야 및 탈북민 등을 상대로 집중적인 APT 공격 수행
[보안뉴스 원병철 기자] 북한 추정 사이버 공격그룹 ‘금성 121’이 최근 우리나라를 대상으로 한 공격을 연이어 진행되고 있다. 2019년 3월 20일 ‘로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)’ 리포트를 통해 HWP 문서기반 이력서를 사칭해 수행한 APT 공격이나, 1월 23일 ‘홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인’ 리포트에서 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황 등이 대표적이라고 이스트시큐리티 시큐리티대응센터(ESRC)는 밝혔다.
[이미지=iclickart]
특히 ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고, 그동안 알려지지 않았던 몇 가지 공격 사례를 추가로 확인했다. 더불어 금성121 위협조직 배후에 ‘특정 정부의 후원을 받는 조직(State-Sponsored Actor)’이 존재하며, 과거 2018년 로켓맨 캠페인에서는 ‘175.45.178.133(북한 평양시 류경동)’ 아이피 주소가 발견된 바 있다고 설명했다.
APT 작전보안 실패(APT OPSEC FAIL)와 스모킹 건(Smoking Gun) 배경
정부후원을 받아 진행되는 고도의 사이버 작전에서 공격주체를 규명하고, 실체를 밝혀내는 과정은 매우 어려운 일이다. 하지만 공격자가 수행한 다수의 위협 캠페인을 종합적으로 분석하고, 지속적인 관찰을 통해 어느 정도 유의미한 데이터를 선별해 낼 수도 있다는 것이 ESRC의 주장이다.
예를 들면, 국가차원의 사이버위협은 마치 군사작전을 방불케 할 정도로 은밀하게 진행되고 있으며, 실제 군인신분으로 사이버작전에 가담하고 있는 경우도 알려져 있다. 그러나 위협대상 환경이 다변화되고 공격이 급하게 진행될 경우 경험 및 준비 부족 또는 예기치 못한 실수 등으로 의도하지 않게 다양한 디지털 증거가 남게 된다. 이른바 결정적 단서로 비유되는 ‘스모킹 건(Smoking Gun)’이 사건 현장에 고스란히 남겨지며, 결국 군사용어 중 하나인 ‘작전보안 실패(OPSEC FAIL)’로 이어진다고 ESRC는 설명했다.
이처럼 군사작전 보안지침이 사이버공간에서도 매우 중요한 요소로 꼽히며, 위협 조직과 배후를 밝혀내는데 되며, 아울러 사이버 위협 인텔리전스 분야에 군사보안 및 첩보 용어가 자연스럽게 접목되고 있다.
금성121, 로켓맨 캠페인 중 남겨진 의문의 퍼즐 조각들
△로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird) 2019. 03. 20
△홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인 2019. 01. 23
△오퍼레이션 블랙버드(Operation Blackbird), 금성121의 모바일 침공 2018. 12. 13
△금성121(Geumseong121) 코리안 스워드(Operation Korean Sword) 작전 수행 중 2018. 11. 16
△금성121 그룹의 최신 APT 캠페인, 작전명 로켓 맨(Operation Rocket Man) 2018. 08. 22
△금성121 그룹의 남북이산가족찾기 전수조사 사칭 이메일 주의 2018. 07. 04
△금성121, Flash Player Zero-Day(CVE-2018-4878) 공격 주의 2018. 02. 02
2018년 10월 01일 보고된 악성 HWP 문서는 특정 탈북민의 운세 정보를 담고 있었다. 이 공격에서는 다음과 같은 C2가 사용됐다.
- youngs.dgweb[.]kr/skin15/include/bin/forlab.php
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=1
- 211.218.126[.]236/ct/data/icon/files/pool.tar
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=2
youngs.dgweb[.]kr 도메인은 ‘오퍼레이션 골든 버드(Operation Golden Bird)’에서도 재활용된다.
▲2018년 08월 로켓맨 캠페인(좌)과 2018년 10월 발견된 HWP 악성코드(우) 비교 화면[자료=ESRC]
2018년 7월과 10월까지 연속으로 발견된 HWP 취약점 악성파일을 비교해 보면, 동일하게 ‘easy’ 계정명이 문서파일 저장에 사용된 것을 알 수 있다. 그리고 두개 모두 ‘HighExpert’ 계정이 발견되었는데, ‘DocOptions’ 스트림에 포함되어 있는 ‘_LinkDoc’ 데이터에 의도하지 않게 다음과 같은 실제 윈도우즈 계정이 포함되어 있다.
▲HighExpert 계정 화면[자료=ESRC]
2018년에는 주로 이렇게 HWP 문서파일에 악의적인 코드를 삽입해 활용했지만, 2019년 01월에는 XLS 문서파일로 변경을 시도한다. 당시에는 ‘홍삼6품단가.xlsx’, ‘섭외대상자.xlsx’, ‘TransactionBill.xlsx’ 등이 발견된 바 있다.
공격자는 엑셀파일에 데이터 연결 기능을 이용해 파워쉘 명령을 수행하도록 설정했다. 초기 공격에서는 아무런 내용 없이 ‘#REF!’ 문자만 보이던 형태였지만, 이 내용이 바로 노출되었기 때문에 아무래도 공격 성공율이 낮았다. 그러나 공격자는 바로 다른 내용들을 포함해서 ‘#REF!’ 문자가 눈에 잘 보이지 않도록 공격에 변화를 시도했다.
▲DDE 실행방식을 사용한 악성 엑셀문서[자료=ESRC]
악성 XLSX 문서는 ‘externalLink1.xml’ 파일에 [ddeService="cmd" ddeTopic="/c p^o^w^er^sh^el^l] 파워쉘 명령을 통해 특정웹 사이트에서 악성파일을 다운로드하고 실행하도록 설정하게 만든다. 공격자는 이러한 설정을 거치는 과정에서 자신이 사용한 윈도우즈 계정이 문서파일 메타데이터와 ‘workbook.xml’ 등에 여러 단서들을 남겼다.
실제 공격자가 다음과 같은 경로에서 악성 파일을 생성했다는 것을 파악할 수 있다.
- C:\Users\HighExpert\Documents\Sample\
▲HighExpert 경로가 발견된 화면[자료=ESRC]
공격자는 이후에 좀 더 다양한 형태로 스피어 피싱 공격을 수행하는데, 한국의 유명 결제 서비스 현금 영수증 내용처럼 위장한 공격을 수행하기도 했다.
- wooridz[.]com/editor/js/temp/dynamic.ini
이때에 사용된 서버는 한국의 특정 호스트로 연결이 되고 있는데, ‘홍삼6품단가.xlsx’ 공격에서도 동일한 도메인이 사용된 바 있다.
- wooridz[.]com/editor/sorak/U.conf
- wooridz[.]com/editor/sorak/U3.conf
- wooridz[.]com/editor/sorak/U4.conf
- wooridz[.]com/editor/sorak/defaults.conf
이 XLSX 파일에서는 공격자가 한글 폴더를 생성해 악성 문서를 제작했다는 단서를 확보할 수 있다.
- D:\00-문서들\MS Excel\
▲XLSX 문서 내부에 존재하는 공격자 활용 경로[자료=ESRC]
로켓맨 캠페인 ┖Operation HighExpert┖ OLE 주무기
2019년 3월 24일에는 다시 OLE 기법을 활용한 HWP 공격벡터로 최신 공격을 수행했다. 이번 공격에서는 마지막 저장한 사람이 ‘Cinemat’ 계정을 사용했지만, HWP BinData 스트림에 포함되어 있는 ‘BIN0004.OLE’ 영역 분석을 통해 공격자의 흔적을 식별할 수 있다. OLE 기능을 통해 내부에 포함되어 있는 ‘hwp.exe’ 파일을 생성하는 기능을 수행하는데, 마치 정상적인 프로그램처럼 파일명을 위장한 악성코드다.
그런데 이 파일을 설정하는 과정에서 공격자가 자신의 계정과 경로가 의도하지 않게 노출됐다.
C:\Users\HIGHEX~1\AppData\Local\Temp\hwp.exe
여기서 계정명은 일부 단축되었지만, 앞선 사례와 같이 ‘HighExpert’ 이름이 동일하게 사용된 것을 볼 수 있다.
▲HighExpert 계정이 발견된 화면[자료=ESRC]
특히, 이번 공격 흐름에서 결정적인 단서가 하나 더 포착이 되는데, UPX 스크램블 기법을 사용하고 1단계에서 작동하는 페이로드(Payload) 모듈에서 과거에 사용하던 PDB 경로가 발견된 것이다.
- F:\))PROG\ie\test.pdb
▲PROG PDB가 포함된 화면[자료=ESRC]
여기서 사용된 PDB 경로는 ‘ESRC-1808-TLP-White-IR002_RocketMan_English’ 보고서를 통해 이미 공개된 바 있다고 설명했다.
금성121(Geumseong121) 위협조직은 한국의 대북단체, 외교, 안보, 통일, 국방분야 및 탈북민 등을 상대로 집중적인 APT 공격을 수행하고 있으며, 주로 HWP와 XLS 문서파일을 통한 공격을 주무기로 활용하고 있다. 때문에 이메일에 첨부파일이 존재하는 경우 각별한 주의가 필요하며, 윈도우즈 운영체제(OS)와 문서작성 프로그램을 항상 최신버전으로 업데이트해야 한다. 그리고 신뢰할 수 있는 백신 프로그램을 설치하고, 실시간 감시 기능과 자동 업데이트 설정 등을 통해 알려진 보안위협에 노출되지 않도록 각별한 주의가 필요하다고 ESRC는 설명했다.
[원병철 기자(boanone@boannews.com)]
한국 대북단체, 외교, 안보, 통일, 국방분야 및 탈북민 등을 상대로 집중적인 APT 공격 수행
[보안뉴스 원병철 기자] 북한 추정 사이버 공격그룹 ‘금성 121’이 최근 우리나라를 대상으로 한 공격을 연이어 진행되고 있다. 2019년 3월 20일 ‘로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)’ 리포트를 통해 HWP 문서기반 이력서를 사칭해 수행한 APT 공격이나, 1월 23일 ‘홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인’ 리포트에서 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황 등이 대표적이라고 이스트시큐리티 시큐리티대응센터(ESRC)는 밝혔다.
[이미지=iclickart]
특히 ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고, 그동안 알려지지 않았던 몇 가지 공격 사례를 추가로 확인했다. 더불어 금성121 위협조직 배후에 ‘특정 정부의 후원을 받는 조직(State-Sponsored Actor)’이 존재하며, 과거 2018년 로켓맨 캠페인에서는 ‘175.45.178.133(북한 평양시 류경동)’ 아이피 주소가 발견된 바 있다고 설명했다.
APT 작전보안 실패(APT OPSEC FAIL)와 스모킹 건(Smoking Gun) 배경
정부후원을 받아 진행되는 고도의 사이버 작전에서 공격주체를 규명하고, 실체를 밝혀내는 과정은 매우 어려운 일이다. 하지만 공격자가 수행한 다수의 위협 캠페인을 종합적으로 분석하고, 지속적인 관찰을 통해 어느 정도 유의미한 데이터를 선별해 낼 수도 있다는 것이 ESRC의 주장이다.
예를 들면, 국가차원의 사이버위협은 마치 군사작전을 방불케 할 정도로 은밀하게 진행되고 있으며, 실제 군인신분으로 사이버작전에 가담하고 있는 경우도 알려져 있다. 그러나 위협대상 환경이 다변화되고 공격이 급하게 진행될 경우 경험 및 준비 부족 또는 예기치 못한 실수 등으로 의도하지 않게 다양한 디지털 증거가 남게 된다. 이른바 결정적 단서로 비유되는 ‘스모킹 건(Smoking Gun)’이 사건 현장에 고스란히 남겨지며, 결국 군사용어 중 하나인 ‘작전보안 실패(OPSEC FAIL)’로 이어진다고 ESRC는 설명했다.
이처럼 군사작전 보안지침이 사이버공간에서도 매우 중요한 요소로 꼽히며, 위협 조직과 배후를 밝혀내는데 되며, 아울러 사이버 위협 인텔리전스 분야에 군사보안 및 첩보 용어가 자연스럽게 접목되고 있다.
금성121, 로켓맨 캠페인 중 남겨진 의문의 퍼즐 조각들
△로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird) 2019. 03. 20
△홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인 2019. 01. 23
△오퍼레이션 블랙버드(Operation Blackbird), 금성121의 모바일 침공 2018. 12. 13
△금성121(Geumseong121) 코리안 스워드(Operation Korean Sword) 작전 수행 중 2018. 11. 16
△금성121 그룹의 최신 APT 캠페인, 작전명 로켓 맨(Operation Rocket Man) 2018. 08. 22
△금성121 그룹의 남북이산가족찾기 전수조사 사칭 이메일 주의 2018. 07. 04
△금성121, Flash Player Zero-Day(CVE-2018-4878) 공격 주의 2018. 02. 02
2018년 10월 01일 보고된 악성 HWP 문서는 특정 탈북민의 운세 정보를 담고 있었다. 이 공격에서는 다음과 같은 C2가 사용됐다.
- youngs.dgweb[.]kr/skin15/include/bin/forlab.php
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=1
- 211.218.126[.]236/ct/data/icon/files/pool.tar
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=2
youngs.dgweb[.]kr 도메인은 ‘오퍼레이션 골든 버드(Operation Golden Bird)’에서도 재활용된다.
▲2018년 08월 로켓맨 캠페인(좌)과 2018년 10월 발견된 HWP 악성코드(우) 비교 화면[자료=ESRC]
2018년 7월과 10월까지 연속으로 발견된 HWP 취약점 악성파일을 비교해 보면, 동일하게 ‘easy’ 계정명이 문서파일 저장에 사용된 것을 알 수 있다. 그리고 두개 모두 ‘HighExpert’ 계정이 발견되었는데, ‘DocOptions’ 스트림에 포함되어 있는 ‘_LinkDoc’ 데이터에 의도하지 않게 다음과 같은 실제 윈도우즈 계정이 포함되어 있다.
▲HighExpert 계정 화면[자료=ESRC]
2018년에는 주로 이렇게 HWP 문서파일에 악의적인 코드를 삽입해 활용했지만, 2019년 01월에는 XLS 문서파일로 변경을 시도한다. 당시에는 ‘홍삼6품단가.xlsx’, ‘섭외대상자.xlsx’, ‘TransactionBill.xlsx’ 등이 발견된 바 있다.
공격자는 엑셀파일에 데이터 연결 기능을 이용해 파워쉘 명령을 수행하도록 설정했다. 초기 공격에서는 아무런 내용 없이 ‘#REF!’ 문자만 보이던 형태였지만, 이 내용이 바로 노출되었기 때문에 아무래도 공격 성공율이 낮았다. 그러나 공격자는 바로 다른 내용들을 포함해서 ‘#REF!’ 문자가 눈에 잘 보이지 않도록 공격에 변화를 시도했다.
▲DDE 실행방식을 사용한 악성 엑셀문서[자료=ESRC]
악성 XLSX 문서는 ‘externalLink1.xml’ 파일에 [ddeService="cmd" ddeTopic="/c p^o^w^er^sh^el^l] 파워쉘 명령을 통해 특정웹 사이트에서 악성파일을 다운로드하고 실행하도록 설정하게 만든다. 공격자는 이러한 설정을 거치는 과정에서 자신이 사용한 윈도우즈 계정이 문서파일 메타데이터와 ‘workbook.xml’ 등에 여러 단서들을 남겼다.
실제 공격자가 다음과 같은 경로에서 악성 파일을 생성했다는 것을 파악할 수 있다.
- C:\Users\HighExpert\Documents\Sample\
▲HighExpert 경로가 발견된 화면[자료=ESRC]
공격자는 이후에 좀 더 다양한 형태로 스피어 피싱 공격을 수행하는데, 한국의 유명 결제 서비스 현금 영수증 내용처럼 위장한 공격을 수행하기도 했다.
- wooridz[.]com/editor/js/temp/dynamic.ini
이때에 사용된 서버는 한국의 특정 호스트로 연결이 되고 있는데, ‘홍삼6품단가.xlsx’ 공격에서도 동일한 도메인이 사용된 바 있다.
- wooridz[.]com/editor/sorak/U.conf
- wooridz[.]com/editor/sorak/U3.conf
- wooridz[.]com/editor/sorak/U4.conf
- wooridz[.]com/editor/sorak/defaults.conf
이 XLSX 파일에서는 공격자가 한글 폴더를 생성해 악성 문서를 제작했다는 단서를 확보할 수 있다.
- D:\00-문서들\MS Excel\
▲XLSX 문서 내부에 존재하는 공격자 활용 경로[자료=ESRC]
로켓맨 캠페인 ┖Operation HighExpert┖ OLE 주무기
2019년 3월 24일에는 다시 OLE 기법을 활용한 HWP 공격벡터로 최신 공격을 수행했다. 이번 공격에서는 마지막 저장한 사람이 ‘Cinemat’ 계정을 사용했지만, HWP BinData 스트림에 포함되어 있는 ‘BIN0004.OLE’ 영역 분석을 통해 공격자의 흔적을 식별할 수 있다. OLE 기능을 통해 내부에 포함되어 있는 ‘hwp.exe’ 파일을 생성하는 기능을 수행하는데, 마치 정상적인 프로그램처럼 파일명을 위장한 악성코드다.
그런데 이 파일을 설정하는 과정에서 공격자가 자신의 계정과 경로가 의도하지 않게 노출됐다.
C:\Users\HIGHEX~1\AppData\Local\Temp\hwp.exe
여기서 계정명은 일부 단축되었지만, 앞선 사례와 같이 ‘HighExpert’ 이름이 동일하게 사용된 것을 볼 수 있다.
▲HighExpert 계정이 발견된 화면[자료=ESRC]
특히, 이번 공격 흐름에서 결정적인 단서가 하나 더 포착이 되는데, UPX 스크램블 기법을 사용하고 1단계에서 작동하는 페이로드(Payload) 모듈에서 과거에 사용하던 PDB 경로가 발견된 것이다.
- F:\))PROG\ie\test.pdb
▲PROG PDB가 포함된 화면[자료=ESRC]
여기서 사용된 PDB 경로는 ‘ESRC-1808-TLP-White-IR002_RocketMan_English’ 보고서를 통해 이미 공개된 바 있다고 설명했다.
금성121(Geumseong121) 위협조직은 한국의 대북단체, 외교, 안보, 통일, 국방분야 및 탈북민 등을 상대로 집중적인 APT 공격을 수행하고 있으며, 주로 HWP와 XLS 문서파일을 통한 공격을 주무기로 활용하고 있다. 때문에 이메일에 첨부파일이 존재하는 경우 각별한 주의가 필요하며, 윈도우즈 운영체제(OS)와 문서작성 프로그램을 항상 최신버전으로 업데이트해야 한다. 그리고 신뢰할 수 있는 백신 프로그램을 설치하고, 실시간 감시 기능과 자동 업데이트 설정 등을 통해 알려진 보안위협에 노출되지 않도록 각별한 주의가 필요하다고 ESRC는 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
