Home > 전체기사
한국 가상화폐 거래소 공격 조직, 지금도 한국 공격중
  |  입력 : 2018-04-13 10:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2017년 한국 가상화폐 거래소 공격(오퍼레이션 아라비안나이트)했던 조직으로 추정
오퍼레이션 배틀크루저, HWP 문서파일 취약점 활용해 스피어피싱 공격 수행


[보안뉴스 원병철 기자] 2017년 한국의 가상화폐(암호화폐) 거래소를 공격했던 ‘오퍼레이션 아라비안나이트(이스트 시큐리티 명명)’를 수행했던 조직이 국내외에서 다양한 작전을 수행하고 있는 것을 확인했다고 이스트시큐리티 대응센터가 밝혔다. 이스트시큐리티 대응센터는 이번 작전을 ‘오퍼레이션 배틀크루저(Operation Battlecruiser)’로 명명하고 지속적인 추적과 연관성 분석을 진행하고 있다.

정부 차원의 후원을 받는 것으로 추정되는 공격그룹(State-sponsored Actor)은 HWP 문서 파일 취약점을 활용해 한국의 특정 분야 이용자에게 스피어피싱(Spear Phishing) 공격을 수행했다. 이 악성 문서 파일은 2018년 3월 26일 제작됐으며, 취약점 발생시 다운로드 되는 바이너리 파일도 HWP 악성문서와 동일하게 2018년 3월 26일 제작됐다.

▲HWP 문서 파일의 구조 및 생성 날짜[자료=이스트시큐리티]


문서파일의 구조를 살펴보면, ‘BinData/BIN0001.PS’ 스트림에 8,176바이트의 Post Script 파일이 포함되어 있는 것을 알 수 있다.

▲Post Script 코드 사이즈 화면[자료=이스트시큐리티]


‘BIN0001.PS’ 이름의 Post Script 파일은 압축된 Stream으로 존재하며, Zlib 압축코드를 해제하면, 내부에 다음과 같이 악의적인 스크립트 코드가 존재한다. 스크립트는 내부에 포함되어 있는 Shellcode 값을 XOR 0x29 변환을 거쳐 특정 명령제어(C2) 서버로 통신을 시도하게 된다.

▲BIN0001.PS 압축해제 화면[자료=이스트시큐리티]


Shellcode 인코딩 부분이 변환되면 내부에 숨겨져 있던 특정 도메인이 보인다. 해당 도메인(naviilibs.com)에는 중간에 0x00 코드가 다수 포함하고 있어 탐지 및 분석에 어려움이 있을 수 있다. 아울러 공격자는 악성 바이너리 파일명을 ‘battle32.avi’, ‘battle64.avi’ 형식으로 지정한 부분이 흥미롭다. avi 확장명은 동영상 파일로 인식할 수 있지만, 실제로는 DLL 기반의 라이브러리 파일이며, 운영체제 플랫폼에 따라 32비트, 64비트 형태가 실행된다.

추가로 다운로드 되는 악성 파일은 이른바 라자루스(Lazarus) 그룹이 사용하는 Manuscrypt (Kaspersky Lab) 시리즈이며, 다음과 같은 사이트로 정보 유출 시도를 하게 된다. 또한, 공격에 사용된 코드는 수년 전부터 한국의 국방, 대북, 안보단체 및 다수의 공기업과 기관, 학계 등에서 지속적으로 발견되었던 계열과 유사하며, 2014년 미국 소니픽쳐스 공격 캠페인 시리즈 종류와도 비슷한 형태다.

▲2018년 악성파일(좌측, battle32.avi)과 2016년 제작 악성파일(우측) 비교 화면[자료=이스트시큐리티]


더불어 2018년 2월 24일 해외 서버에서 발견된 악성 파일과도 코드 기반 유사도가 높은 것으로 분석됐다. 이 파일은 터키 금융기관 등을 대상으로 공격이 수행됐다고 알려져 있다. 해당 공격은 2018년 02월 26일 작성된 MS오피스 문서(.docx)의 CVE-2018-4878 Flash Exploit 코드가 사용됐다. 이 취약점은 2017년 공격 당시 ‘금성121(Geumseong121)’ 그룹이 최초 사용한 Zero-Day 공격이었다.

▲가상통화 사칭 명령제어(C2) 서버 화면[자료=이스트시큐리티]


공격에 사용된 서버(falcancoin.io)는 마치 해외 특정 가상통화 사이트 도메인처럼 사칭했으며, 압축파일(ZIP) 확장자로 위장한 악성 DLL 파일을 다운로드하게 제작했다. 이 악성파일은 2018년 2월 24일 제작됐고, 서버에 등록된 날짜와도 일치한다. 다운로드 되는 파일은 ‘battle32.avi’ 때와 마찬가지로 32비트와 64비트로 파일명을 구분했다. 또한, 파일 내부의 리소스는 한국어 기반으로 작성된 것을 알 수 있다.

한국어 리소스 기반으로 작성된 package32.zip 화면


battle32.avi 악성파일과 package32.zip 파일을 비교해 보면, 통신 등에 다음과 같이 동일한 코드가 사용된 것을 알 수 있다. ‘*dJU!*JE&!M@UNQ@’ 코드는 다음과 같이 유사 시리즈 파일에서 지속적으로 발견되고 있으며, 동일한 소스코드가 재활용될 가능성도 배제할 수 없다.

▲동일한 코드를 사용하는 화면[자료=이스트시큐리티]


더불어 이 계열의 악성파일은 한국을 포함한 국내외 가상화폐 거래소 공격에 사용된 것으로 추정되는 악성파일에서 발견된 바 있다. 2017년 3월 제작된 것으로 알려진 MS오피스 엑셀(XLS) 문서이며, 마치 멕시코 금융문서 내용으로 위장한 형태는 매크로 기능을 통해 악성파일을 추가 설치하고 있다.

그런데 이번 매크로에 사용한 기법은 이전에 공개했던 ‘오퍼레이션 아라비안나이트’ 공격자가 사용한 방식과 여러 가지로 비슷해 동일한 공격 그룹으로 추정되며, 지속적으로 다양한 오퍼레이션 수행을 확인할 수 있다.

▲오퍼레이션 배틀크루저와 아라비안나이트 매크로 계열 비교 화면[자료=이스트시큐리티]


당시 시점에 발견된 다양한 유사 변종 중에는 주로 비트코인 관련 내용을 포함하고 있기도 한다.

2017년 11월 HWP 취약점을 통해 한국 가상통화 거래자를 대상으로 한 스피어피싱 공격용 악성파일과 2018년 2월 제작된 ‘package32.zip’ 파일의 코드 유사도를 비교해 보면 다음과 같이 매우 유사하다는 것을 알 수 있다. 또한, 두 파일 모두 리소스는 한국어 기반으로 제작되어 있다.

이스트시큐리티의 인텔리전스 보고서인 ‘20170512_ESRC1705_White_Threat Intelligence Report_Arabian Night’ 자료를 보면 공격자는 다음과 같은 대한민국 명령제어(C2) 서버를 사용했다.

▲아라비안나이트 인텔리전스 보고서 내용 화면[자료=이스트시큐리티]


그런데 우연하게도 해당 명령제어 서버 중 일부는 2016년 국방관련 웹 사이트의 워터링 홀(Watering Hole) 공격에서도 동일하게 식별이 된다.

△211.233.13.62 (KR)
△221.138.17.152 (KR)

동일한 C2 IP 주소를 사용한 이 악성파일들은 2009년 7.7 DDoS 공격 때부터 이어진 명령조합코드 스타일을 그대로 사용하고 있다.

▲국방 분야 공격에 사용된 악성파일의 명령 조합 코드화면[자료=이스트시큐리티]


이처럼 국가 차원의 지원을 받는 것으로 추정되는 공격자(State-sponsored Actor)의 활동이 한국뿐만 아니라 글로벌적으로 활동하고 있다. 그동안 널리 알려져 있지 않았지만, 금성121(Geumseong121) 그룹과 김수키(Kimsuky) 계열의 오퍼레이션에서 IoC간 오버랩된 부분이 다수 확인되었는데, 이번에는 라자루스(Lazarus) 그룹이 2017년 금성121(Geumseong121) 그룹에서 사용했던 CVE-2018-4878 취약점을 활용했다는 점이 주목된다.

이스트시큐리티 대응센터(ESRC)에서는 이와 관련된 인텔리전스 연구와 추적을 지속적으로 유지하고, 유사한 보안위협으로 인한 피해가 최소화될 수 있도록 관련 모니터링을 강화하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트