Home > 전체기사
통일부 기자단 노렸던 해커그룹의 진화하는 공격방법
  |  입력 : 2019-02-06 23:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국 통일부 출입 취재기자 공격그룹, 기밀정보 수집에서 암호화폐 탈취까지
NSHC RedAlert, ThreatRecon 팀...SectorA05 하위조직으로 추정하고 공격방법 분석


[보안뉴스 원병철 기자] 2019년 1월, 한국의 통일부 출입 취재기자 77명을 대상으로 악성코드가 포함된 메일이 유포됐다. 국내외 많은 보안기업과 보안전문가들은 해당 사건을 정국가의 지원을 받는 공격그룹의 소행으로 추정하고, 공격방법에 대한 자세한 분석과 함께 향후 대책을 발표했다.

[이미지=iclickart]


NSHC RedAlert, ThreatRecon팀 또한 해당 악성코드를 분석하고, 분석과정을 통해 이들이 SectorA05 조직의 하위 그룹으로 추정된다고 밝혔다. 해당 악성코드를 기점으로 과거 활동 등을 추적한 결과, 이들은 일본 IP를 사용하는 한국 도메인의 특정 명령제어(C&C) 서버를 최소 27개월 이상 지속적으로 사용하며 활동한 것으로 확인됐다.

또한, 이메일을 통해 악성코드를 유포하는 공격뿐만 아니라 이메일 계정의 정보를 탈취하기 위한 피싱 공격도 함께 수행하고 있다. 이들은 주로 중앙정부, 통일, 외교 영역과 국방 영역 등 한국 정부의 인사 등을 해킹 대상으로 삼았으며, 최근에는 가상화폐 거래소 및 사용자들을 대상으로 공격을 확대했다. 이들은 정부의 기밀정보 탈취와 암호화폐를 통한 금전적인 이득이 주요 목적으로 추정된다.

최초 유입방식
ThreatRecon팀에 따르면 SectorA05는 공격을 위해 크게 2가지 방식을 사용한다. 먼저 타깃의 이메일 계정의 패스워드를 탈취하기 위한 피싱 공격과 타깃 PC의 정보들을 탈취하기 위한 악성코드를 이메일을 통해 배포하는 공격이다.

A. 이메일 계정 탈취 공격
그들은 타깃이 사용하고 있는 이메일 서비스와 동일한 피싱 사이트를 만들고 타깃에게 발송한다. 그들은 주로 비밀번호 재설정 요청 등 보안과 관련하여 문제가 발생한 것으로 오인하개 함으로써 타깃이 패스워드를 입력하도록 유도한다.

B. 악성코드 배포 공격
악성코드는 이메일의 첨부파일을 통해 전달하는 방식을 사용한다. 이들은 이메일의 첨부파일로 다양한 방법들을 사용한다. 스크립트 파일을 전달하는 방법, 한글(HWP) 문서의 취약점을 이용한 방법, ‘EXE’ 실행 파일을 문서처럼 보이게 하는 속임수 방법 등을 사용한다. 이러한 파일들은 주로 압축파일 형태로 전달된다.

(1) 스크립트 스크립트 파일 사용
‘WSF’와 ‘VBS’의 스크립트 파일을 압축파일로 전달하여 사용자가 압축 파일 내의 스크립트 파일을 실행하도록 유도한다. 실제 공격에 사용된 스크립트들은 다음과 같다.

- 정보보고.wsf (2018년 1월)
SHA256: 575606c03d3775cd8880c76a3ef7c014cfcab08411a01f07fc3fcb60166be50b
- 공지사항.png.vbs (2018년 7월)
SHA256: c87f4aeebd3f518ba30780cb9b8b55416dcdc5a38c3080d71d193428b0c1cc5a

(2) 한글(HWP) 문서 취약점 취약점 사용
한국에서 많이 사용하는 한글 문서 프로그램의 취약점을 이용하여 악성코드를 실행시키는 방법을 사용한다. 한글 문서를 이메일의 첨부파일로 전달하여 타깃이 열람할 경우 악성코드를 실행한다. 실제 공격에 사용된 한글 파일은 다음과 같다.

- 종전선언.hwp (2018년 5월)
SHA256: 5f2ac8672e19310bd532c47d209272bd75075696dea6ffcc47d1d37f18aff141

(3) 실행파일을 문서파일처럼 보이게 하는 속임수 방법 사용
파일명에 공백을 길게 많이 삽입하여 ‘.exe’나 ‘.scr’ 같은 실행파일의 확장자가 사용자에게 보이지 않도록 유도하여 타깃이 문서 파일로 오해하여 실행하도록 유도하는 속임수 방법을 사용한다. 실제 공격에 사용된 파일들은 다음과 같다.

- 미디어 권력이동⑥-넷플렉스, 유튜브.hwp .exe (2019년 1월)
SHA256: c6c332ae1ccb580ac621d3cf667ce9c017be41f8ad04a94c0c0ea37c4789dd14
- 중국-연구자료.hwp .scr (2019년 1월)
SHA256: 84edc9b828de54d4bd00959fabf583a1392cb4c3eab3498c52818c96dc554b90

구글 드라이브 활용
SectorA05는 악성코드를 공급하기 위한 방법으로 구글 드라이브를 사용했다. 그들은 자신들이 구글에 만든 계정을 통해 구글 드라이브에 악성코드 바이너리를 업로드했다. 악성코드 바이너리 및 악성코드가 동작에 필요한 C2 도메인 정보 등 설정 파일들을 구글 드라이브에 업로드했다. 최초 감염 시 타깃에 의해 실행된 스크립트를 통해 구글 드라이브에서 악성코드를 다운로드하거나 감염된 악성코드에서 추가적인 설정파일을 다운로드하거나 추가 악성코드 파일을 다운로드 받는 용도로 활용했다. 구글 드라이브는 정상적인 구글의 서비스로 네트워크 보안 장비를 우회하여 악성코드의 배포를 원활하게 하도록 활용됐다.

▲실제 SectorA05가 사용한 구글 드라이브 화면[자료=NSHC]


Gmail 피싱 공격
SectorA05는 타깃의 이메일 서비스별로 피싱 공격을 진행했다. 한국의 대표적인 이메일 서비스들과 구글의 Gmail 서비스 사용자들을 대상으로 피싱 공격을 했다. 피싱 공격을 통해 그들은 타깃의 계정의 패스워드를 획득하고자 했다. ThreatRecon팀이 발표한 해당 보고서에서는 주로 구글의 Gmail 피싱 공격 사례를 분석했다.

▲Gmail 피싱 메일 사례[자료=NSHC]


위 화면은 실제 해당 그룹의 해커가 특정 타깃에게 발송한 구글 메일 보안팀으로 위장한 구글의 피싱 메일이다. 누군가에 의해 공격 대상의 이메일 주소를 복구 이메일로 추가했으니 모르는 계정일 경우 이메일 연결 해제를 하라는 내용의 피싱 메일이다. 만약 공격 대상이 ‘이메일 연결 해제’ 링크를 클릭할 경우 이메일 계정 로그인 피싱 사이트로 연결되고, 비밀번호를 입력하는 순간 해당 비밀번호는 특정 서버로 유출된다.

A. 피싱 메일 발신자 이메일 주소
그들은 주로 protect, privacy, security 등 보안에 관련된 키워드를 대상으로 유사한 문자들로 구성하여 피해자가 착각하도록 이메일 주소를 만들었다.

B. 피싱 메일 제목
그들은 주로 이메일 보안과 관련하여 도용, 로그인 시도, 보안 상태, 복구 이메일, 비밀번호 재설정 등과 관련된 제목으로 메일을 발송하여 피해자들이 계정정보를 확인하도록 유도했다.

C. 로그인 정보 입력 피싱 서버 도메인 주소
피싱 메일 본문의 특정 링크를 통해 연결되는 패스워드 입력을 유도하는 피싱 페이지의 도메인 정보들 또한 google과 유사하게 ‘g’를 ‘q’로 바꾸는 등 유사한 문자들로 피해자가 혼동하도록 유도했다.

탈취는 그들의 부업인가? 목적인가?
ThreatRecon팀은 SectorA05가 공격 대상을 두 가지 형태로 구분해 관리하는 것을 파악했다고 밝혔다. 한국 정부 주요 인사들로부터 정부와 관련된 다양한 정보를 수집함과 동시에, 일부의 다른 형태에서는 암호화폐 관련 코인의 탈취 행위를 수행하고 있다는 설명이다.

SectorA05는 전통적으로 한국 및 주변 국가에서 각종 기밀 정보들을 탈취하는 행위를 주요 목적으로 하고 있는 조직이다. 그러나 최근에는 그들이 암호화폐 관련한 코인을 탈취하기 위한 해킹 시도에도 많은 시간을 소요하고 있는 것이 파악되고 있다. 해당 그룹이 정부 배후의 스파이 활동을 하는 역할에서 암호화폐 탈취를 통한 외화벌이까지 목적이 확대된 것인지 아니면 그들 중 일부가 자신들의 사익을 위해 일탈 행위로 코인을 노리고 있는지 명확하지 않다.

그러나 명확한 사실은 그들이 일부 형태의 해킹 대상으로부터 활발하게 암호화폐 관련 코인을 탈취하기 위한 활동을 지속하고 있다는 점이다. 암호화폐 거래소 임직원 및 개인 암호화폐 사용자들과 코인 관련 개발자 등이 그들의 주요 해킹 목표이다. 실제로 그들은 피해자들로부터 다음과 같이 암호화폐 지갑과 개인키가 위치한 디렉토리를 탐색했다.

▲암호화폐 지갑과 개인키가 저장된 경로를 탐색[자료=NSHC]


ThreatRecon팀은 지속적으로 한국의 주요 정부 인사들과 암호화폐 거래소 및 사용자들을 대상으로 활동하는 SectorA05의 ‘Operation Kitty Phishing” 활동을 추적하며, 그들의 활동이 생각보다 오래됐으며 지속되고 있다고 밝혔다. 기존에 이메일 계정 탈취를 수행하는 피싱 조직과 악성코드를 유포하는 조직이 동일한 조직인지에 대해서 판단하는 것이 매우 어려웠지만, 이번 추적을 통해서 그들이 동일한 조직이며 모두 동시에 수행하고 있음을 확인했다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트