Home > 전체기사
김수키 그룹, 과거 라자루스 doc 공격 방식 활용해 北 인권단체 공격
  |  입력 : 2020-06-11 18:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
5월 29일 보안뉴스 보도 ‘北 코로나19 상황 인터뷰 문서 사칭 APT 공격 주의...김수키 추정’ 기사 내용과 연결

[보안뉴스 원병철 기자] 최근 활발한 공격활동을 펼치고 있는 김수키(Kimsuky) APT 그룹의 새로운 공격이 발견됐다. 이스트시큐리티 ESRC(시큐리티대응센터)는 특정 정부가 배후에 가담한 것으로 알려져 있는 김수키 그룹이 최근 탈북민 관련 정보를 담은 문서로 공격한 정황이 포착됐으며, 이 공격은 지난 5월 29일 보안뉴스가 보도했던 ‘北 코로나19 상황 인터뷰 문서 사칭 APT 공격 주의... 김수키 추정’을 통해 알려진 내용과 연결되고 있다고 밝혔다.

▲악성 워드 문서가 실행된 화면[자료=ESRC]


특히, ESRC는 이번 사례를 분석하면서 매우 흥미로운 특성을 발견했는데, 이번 공격에 사용된 악성 MS 워드(.doc) 문서파일이 라자루스(Lazarus) APT 그룹이 과거에 수차례 사용한 바 있는 VBA 매크로 코드 방식을 도입했다는 것이다. 물론 이러한 공격에는 자동화된 위협도구가 공유되어 사용될 수도 있지만, 반대로 의도를 가진 거짓 표식(False Flag)을 넣어 위협그룹 조사에 혼선을 불러오기 위한 일종의 교란전술이 될 수도 있다.

탈북민 인터뷰 내용으로 위장한 APT 공격 등장
우선 악성 문서를 실행하면 영어로 작성된 탈북민 인터뷰가 포함되어 있다. 그리고 ‘콘텐츠 사용’ 버튼이 보인다. 워드 문서의 악성 기능은 VBA 내부에 포함되어 있는 악성 매크로 함수에 의해 작동하는데, 최근 사례에서는 식별된 바 없는 Anti-VM 기능을 탑재하고 있다. 그리고 매크로 함수는 간단한 암호화 루틴에 의해 문자열들이 모두 인코딩되어 있으며, 디코딩 과정을 통해 Anti-VM 기능 함수를 확인할 수 있다.

▲Anti-VM 기능 매크로 함수 디코딩 화면[자료=ESRC]


▲HEX 스트링이 분리되어 포함된 화면[자료=ESRC]


특정 영역에는 16진수 문자열로 선언된 악성 바이너리가 포함되어 있다. 내부 명령에 의해 16진수 문자열들이 조합되고, XOR 복호화를 통해 32비트 악성 ‘winload.exe’ 파일이 생성된다. 그리고 이 파일은 UPX로 실행 압축되어 있고, 다음과 같은 디지털 서명을 가지고 있다. 디지털 서명은 발급자가 인증서를 해지한 상태이고, 서명자 이름은 ‘EGIS Co., Ltd.’로 표기되어 있다. 이 서명자는 과거 김수키(Kimsuky) 그룹이 수차례 사용한 것이 보고된 바 있다.

▲악성 exe 파일에 포함된 인증서 서명 정보화면[자료=ESRC]


winload.exe 파일에는 ‘BINARY’, ‘EXE’ 리소스가 포함되어 있는데, 각 리소스가 한국어로 설정되어 있어 개발자가 한국어 기반에서 제작했음을 알 수 있다.

▲악성파일 내부 리소스 언어화면[자료=ESRC]


악성 실행 파일은 UPX로 실행압축된 형태이며, 빌드 시간이 2016년 7월 30일로 조작한 것으로 분석된다. 그리고 다음과 같은 PDB 정보가 존재한다.

△D:\SPY\CSpy\Online_Setup\Release\Online_Setup.pdb

내부에 API 함수와 일부 문자열들은 doc 문서와 동일한 방식으로 인코딩되어 있다. 따라서 디코딩 과정을 거쳐야 육안상 식별하는데 용이하다. 악성 실행 파일 내부에도 주요 문자열이 인코딩되어 있고, Anti-VM 기능을 가지고 있다.

▲인코딩된 코드 내부화면[자료=ESRC]


명령제어(C2) 문자열은 다음과 같이 인코딩되어 있고, 복호화를 하면 ‘wave.posadadesantiago[.]com’ URL 주소가 나타난다.

△Encode : xbwf/qptbebeftboujbhp/dpn
△Decode : wave.posadadesantiago[.]com


2017년 라자루스 조직이 사용한 악성 doc 문서와 2020년 김수키 조직이 사용한 악성 doc 문서의 내부 매크로 함수를 비교하면 다음과 같다.

▲2017년 09월 발견(좌, 라자루스), 2020년 06월 발견(우, 김수키)[자료=ESRC]


ESRC는 2020년 상반기 내내 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121), 코니(Konni) 등의 APT 그룹이 한국 등을 상대로 활발한 위협 활동을 진행 중이라고 밝혔다. 또한, 이들 위협 조직들은 주로 외교, 통일, 안보분야 및 대북관련 탈북민, 언론기자 등을 상대로 지속적인 공격을 유지하고 있다고 설명했다.

아울러 ESRC는 특정 정부가 연계된 APT 조직들에 대한 위협이 증가하고 있는 지금, 보다 체계화된 분석 및 대응이 요구된다는 설명이다. 이어 국가사이버안보 차원의 노력과 투자가 중요한 시점이라면서, 관련 분야 종사자 중 혹시라도 의심스러운 이메일을 발견하면 이스트시큐리티 ESRC로 언제든지 연락해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)