Home > 전체기사
北, 통일부 사칭 등 1년간 5개 공격 캠페인 펼쳤다
  |  입력 : 2018-01-17 17:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한 추정 해커 조직, 5개 캠페인으로 국내 공격...그룹 123에 의해 진행
5개 캠페인: 골든타임, 사악한 새해, FreeMilk, 북한 인권, 사악한 새해


[보안뉴스 김경애 기자] 북한 추정 해커 조직이 지난 2016년 부터 최근까지 여러 캠페인으로 사이버공격을 감행한 분석내용이 발표돼 이목이 집중되고 있다. 시스코에 따르면 북한 추정 공격그룹이 대한민국을 타깃으로 진행한 여러 캠페인을 1년 동안의 검토한 결과 △골든타임 △사악한 새해 △FreeMilk △북한 인권 △사악한 새해 등 5개 캠페인이 그룹 123에 의해 진행됐다고 밝혔다.

[이미지=시스코]


2016년 8월~2017년 3월: 골든 타임 캠페인
그룹 123의 초기 공격 방법은 주로 스피어피싱이다. 시스코의 탈로스(Talos)에 따르면 첫 번째로 발견한 이메일은 공격자가 ‘통일·북한 학술대회’ 관련 패널로 합류하도록 사용자를 유도하며, 수신자가 첨부된 문서를 작성해 필요한 피드백을 제공해야 한다고 설명하고 있다.

[이미지=시스코]


발신자는 ‘kgf2016@yonsei.ac.kr’로, 별도의 학술대회인 한반도국제포럼의 담당자 이메일로 드러났다. 이메일 헤더 분석 결과 이메일은 연세대학교 네트워크와 연결된 IP를 사용하는 SMTP 서버에서 전송됐으며, 공격자가 이메일 주소 보안을 해킹해 이를 악용했다. 악성 첨부파일 이름은 ‘통일북한학술대회 – 심사서류’이며 메일 본문에는 ‘소정의 사례금’을 제공할 것으로 제안하는데, 여기서 사례금은 임베디드 악성코드로 추정된다.

탈로스가 분석한 두 번째 이메일은 다음(Daum) 한메일로 전송됐다. 메일 제목은 ‘도움요청’으로 첨부 파일명은 ‘저는요 북조선 강원도 문천 사람이에요’다. 공격자는 수신자에게 강원도 문천(1945년에 한국이 분단되기 전에 대한민국 강원도에 속했던 지역)을 언급하며 동정심을 유발하려던 것으로 의심된다. 두 번째 이메일에는 도움을 필요로 하는 ‘김아령’에 관한 내용이 포함돼 있다. 이메일 첨부 파일은 서로 다른 2개의 HWP 문서이며, 두 문서에서는 모두 동일한 취약점(CVE-2013-0808)이 활용됐다. 이 취약점은 EPS(Encapsulated PostScript) 형식을 대상으로 셸코드 목적은 인터넷에서 페이로드를 다운로드한다.

2016년 11월~2017년 1월: ‘사악한 새해’ 캠페인
2017년 초에 그룹 123은 ‘사악한 새해’ 캠페인을 시작했다. 공격 조직은 대한민국 통일부로 위장했다. 문서는 ‘2017년 北 신년사 분석’ 제목으로 통일부 공식 로고가 사용됐다. 문서는 북한의 새해 활동에 대해 논의한다며, 관심을 가질 수 있을 만한 내용으로 유도했다. 문서의 목적은 사용자가 페이지 아래의 임베디드 악성 문서를 열도록 유도한다.

[이미지=시스코]


공격 조직은 2개의 추가 링크를 임베드하고 이 문서에서 사용자가 북한의 새해 활동에 관한 자세한 내용을 확인하기 위해 링크 클릭을 유도한다. 첫 번째 링크는 2016년 및 2017년 주요과업 비교’라고 레이블이 지정돼 있으며, 두 번째 링크는 ‘2016년 및 2017년 대남분야 비교’ 레이블이 지정돼 있다. 링크를 열면 사용자에게 추가적인 악성 한글 문서가 표시된다. 문서에는 바이너리 설치에 사용되는 악성 OLE(Object Link Embedded) 개체가 포함돼 있다.

설치된 바이너리는 셸코드를 삽입하고 wscript.exe를 실행하는 데 사용됐다. 쉘코드로부터 압축이 풀린 새로운 PE32 파일은 최종 페이로드를 얻기 위해 C2 인프라스트럭쳐와 통신하는 초기 정찰 악성코드다. 악성코드로 수집된 정보는 컴퓨터 이름, 사용자 이름, 샘플의 실행 경로, BIOS 모델, 시스템을 고유하게 식별하기 위해 임의로 생성된 ID다. 그룹 123은 이 방법을 활용해 정찰 단계에서 얻은 정보를 기초로 추가 감염 대상을 확인했다. 특히 공격자는 이 과정에서 한국정부법무공단(KGLS)에 침투해 공격을 실행할 신뢰할 수 있는 플랫폼을 확보했다.

[이미지=시스코]


2017년 3월: ‘행복하십니까?’ 캠페인
2017년 3월 그룹 123은 디스크 와이퍼를 컴파일했다. 악성코드에는 1개의 함수가 포함돼 있으며, 함수의 목적은 감염된 시스템의 드라이브(\\.\PhysicalDrive0)를 열고 MBR에 데이터를 작성한다. 와이퍼는 ERSP.enc라는 이름의 ROKRAT 모듈이다. ERSP는 ERaSePartition을 의미하고 있을 것으로 추정된다. 이 모듈은 그룹 123의 요구에 따라 다운로드 및 실행될 수 있으며, 이는 한국의 발전소를 대상으로 한 2014년 12월의 공격에서 와이퍼가 표시한 메시지가 ‘Who Am I?’였다는 점에서 흥미롭다.

2017년 5월: ‘FreeMilk’ 캠페인
이 캠페인은 한국 이외 금융 기관을 대상으로 했지만 다른 캠페인과 달리 HWP 문서를 사용하지 않고 Office 문서를 사용했다. 공격자는 Microsoft Office 내에 악성 HTA 문서를 다운로드하고 실행하기 위해 CVE-2017-0199를 익스플로잇 했다. 사용된 URL은 임베디드 OLE 개체에서 찾을 수 있다. 이 스크립트의 목적은 Windows 스크립트와 2개의 인코딩된 페이로드를 다운로드하고 실행한다.

2017년 11월: ‘북한 인권’ 캠페인
이 캠페인에는 최신 공격 흐름에서 사용되고 있는 새 버전의 ROKRAT이 포함돼 있다. 그룹 123은 악성 hwp 문서를 사용했으며, 11월 1일 서울에서 개최된 회의와 관련된 정보 문서를 사용했다. 이 문서는 ‘북한 인권 및 한반도 통일을 위한 시민 연대’를 대표하는 변호사로 위장하고 있다.

[이미지=시스코]


공격조직은 ‘올바른 인권통일을 위한 시민모임’을 언급하며, 대한민국에서 2016년에 통과된 ‘북한인권법’ 및 ‘시행령 제정’과 관련된 사항을 논의하는 회의를 마련했다고 소개했다. 그러면서 그룹 123은 HWP 문서 내의 OLE 개체를 활용했다. 공격자는 실행 단계에서는 PE 바이너리를 디코딩하고 cmd.exe 프로세스에 삽입하고 새로운 ROKRAT 변종을 실행할 수 있다.

[이미지=시스코]


해당 공격 캠페인을 감행한 Group 123의 특이한 점 중 하나는 사용자에게 한국의 ‘독립 운동’및 한국 전쟁과 관련이 있는 이미지에 악성코드를 심어 제공했다는 점이다. 새로운 버전의 ROKRAT를 분석해 보면 ‘사악한 새해’ 캠페인과의 몇 가지 유사점이 발견됐다. 또한 ROKRAT 변종에는 안티 샌드박스 기술이 포함돼 있으며, 라이브러리가 피해자 머신에 로드 되었는지를 확인해 수행된다. ROKRAT 변종은 분석을 어렵게 만들기 위해 NOP(No Operation)와 관련된 안티 디버깅 기술을 사용했다. 뿐만 아니라 브라우저 도용 메커니즘이 도입된 이 버전의 ROKRAT은 일부 수정된 부분을 포함해 2016년 Freenki 악성코드를 사용한 FreeMilk 캠페인에 활용된 것과 유사하다. 그룹 123은 이 캠페인에서 클라우드 플랫폼(이번에는 pCloud, Dropbox, Box, Yandex 활용)을 계속 사용했다.

2018년 1월: ‘사악한 새해 2018년’ 캠페인
이 캠페인은 1월 2일에 시작됐으며, 감염 벡터는 악성 HWP 문서다. 이 악성 문서는 북한 지도자의 2018년 신년사를 분석한 것이다. 이러한 접근 방식은 2017년에 확인됐던 새로운 악성 문서 사용방식과 동일하다. 이 문서는 왼쪽 상단의 로고에서도 알 수 있듯이 통일부에서 작성했다고 주장했다. 이 문서는 ‘골든 타임’ 캠페인과 비슷하게 보안이 침해된 웹사이트에 있는 셸코드를 다운로드 및 실행하기 위해 EPS 취약점을 익스플로잇 한다.

[이미지=시스코]


가짜 이미지를 사용하고, 이미지에는 임베드된 최종 페이로드인 ROKRAT을 디코딩하는 데 사용된 셸코드가 포함돼 있다. 이 ROKRAT 변종은 메모리에서 로드된다. 이는 파일리스 버전의 ROKRAT다. 이 행동은 그룹 123이 탐지를 피하기 위해 끊임없이 진화하고 있다. 평소와 같이 ROKRAT 샘플은 클라우드 제공자(이번에는 Yandex, pCloud, Dropbox, Box 활용)를 사용해 작업자와 통신한다.

탈로스 측은 “그룹 123이 서로 다른 악성코드 간에 코드를 공유한다”며 “이 문서에서는 2가지 기능, 즉 정찰 단계 및 브라우저 도용자만 다루도록 한다”고 밝혔다.

‘사악한 새해’ 및 ‘북한 인권’ 캠페인 수행동안 사용된 ROKRAT 샘플에는 정찰 단계가 포함돼 있다. ‘사악한 새해’ 캠페인에서는 페이로드가 두 부분으로 분할돼 있으며 첫 번째 부분에 정찰 코드가 포함됐다. 다른 캠페인에서는 정찰 단계가 기본 페이로드에 바로 포함됐다. 이 코드는 동일하다.

악성코드는 머신 유형을 확인하기 위해 레지스트리 키를 사용하며, ‘시스템 제조업체’ 값이 머신 유형을 식별하는 데 사용된다. 해당 코드는 사용된 Win32 API의 사용 방법을 설명하는 포럼 게시물(rohitab.com)에 기반한다. 흥미로운 점은 이 정찰 단계가 ‘골든 타임’ 캠페인 진행 중에 사용된 ROKRAT 변종에는 포함되지 않았다는 점이다.

북한 인권 캠페인 진행 중에 사용된 ROKRAT 샘플에 처음으로 브라우저 크리덴셜 스틸러가 포함돼 있다. 이 작업을 수행하는 데 사용된 코드는 2016년에 구축된 Freenki 샘플에서 발견된 코드와 동일하다. 악성 코드는 Internet Explorer, Chrome, Firefox에서 저장된 암호를 추출할 수 있다. Chrome, Firefox의 경우, 악성코드는 URL, 사용자 이름 및 비밀번호를 포함하는 sqlite 데이터베이스를 쿼리한다. 또한, 이러한 항목은 Microsoft Vault 메커니즘을 지원한다. Vault는 Windows 7에서 구현됐으며, Internet explorer 의 모든 민감한 데이터(자격 증명)를 포함한다.

공격 조직은 스피어 피싱 캠페인을 위조하거나 명령 및 제어를 호스팅하기 위해 시간을 들여 여러 합법적인 한국 플랫폼(연세대학교 및 KGLS 포함)의 보안을 침해했다. 이러한 접근은 이보다 덜 지능적인 공격 조직에서는 거의 찾아볼 수 없는 방식이다. 이러한 사실을 통해 이 공격 조직이 상당한 수준의 성숙도를 갖췄으며 한국 지역 관련 지식 또한 보유하고 있음을 알 수 있다.

[이미지=시스코]


그룹 123 활동 범위는 전 세계로 마이크로소프트 오피스 문서를 사용하는 등 더 일반적인 공격 벡터로 전환할 수 있다. 그룹 123은 공개 익스플로잇과 스크립팅 언어를 사용해 악성 페이로드를 설치 및 실행한다. 이 그룹은 보안이 침해된 합법적인 웹 사이트(주로 Wordpress) 및 클라우드 플랫폼을 사용해 감염된 시스템과 통신한다.

이러한 접근 방식은 이들 네트워크 플로우 분석을 통한 통신 탐지 작업을 어렵게 만든다. 이 공격 조직이 사용한 공격수단의 종류는 매우 다양했으나 우리는 일부 패턴, 다양한 공개 저장소에서 복사해 붙여넣기 한 코드, 서로 다른 코드 간의 유사점 등을 파악하는 데 성공했다. 또한, 원격 관리 툴 뿐만 아니라 와이퍼도 파악했다. 이 그룹은 인텔리전스 수집 캠페인에 참여했으며 최종적으로 파괴 공격을 시도했다고 결론 내릴 수 있다.

이 공격조직은 앞으로도 계속 활발히 활동할 것으로 예상된다. 그룹 123은 ROKRAT에 파일이 없는 새로운 방식을 추가한 것 같이 끊임없이 진화하고 있다. 또한 TTP를 추가로 조정해 시간이 지남에 따라 계속 진화할 가능성이 높다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상