2024-03-29 06:05 (금)
[긴급] 국내 안보·외교·통일 분야 겨냥한 APT 공격 활동 포착...'작전명 블랙 리무진'
상태바
[긴급] 국내 안보·외교·통일 분야 겨냥한 APT 공격 활동 포착...'작전명 블랙 리무진'
  • 길민권 기자
  • 승인 2018.11.30 12:31
이 기사를 공유합니다

최근 발견된 대부분 악성 문서 파일, 한국 정치, 사회와 관련된 내용들 담고 있어

2014년 한수원 사이버공격을 비롯해 한국의 안보·외교·통일 관련 분야 정보를 노리고 있는 위협그룹이 최근 다양한 APT 공격을 수행하고 있는 정황이 포착됐다. 이 그룹은 북한 정부가 배후에 있는 것으로 알려져 있다. 각별한 주의가 필요하다.

이스트시큐리티 사이버 위협 인텔리전스 전문조직 시큐리티대응센터(이하 ESRC) 측은 "지난 2월 '오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형'으로 공개된 내용과 5월 "판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Operation Onezero)' APT 공격 분석" 내용으로 일부 공개된 바 있다"며 "그리고 이번 최신 APT공격을 '작전명 블랙 리무진(Operation Black Limousine)'으로 명명하고 쓰렛 인사이드 서비스를 통해 보다 다양한 침해지표 등을 별도 제공할 예정"이라고 밝혔다.

이 조직이 사용한 대표적인 공격벡터를 시계열로 분석해 보면 다음과 같다.

▲ 문서파일 취약점을 이용한 APT 공격 시계열 흐름 화면
▲ 문서파일 취약점을 이용한 APT 공격 시계열 흐름 화면

다양한 형태의 악성 문서파일이 지속적으로 발견이 되었고 모두 동일한 쉘코드 취약점을 사용하고 있는 특징이 존재한다.

특히 대부분 문서 파일이 한국의 정치, 사회와 관련된 내용을 담고 있는 공통점이 있다. 그런 가운데 지난 10월 22일 제작된 문서파일은 특정 대학교의 '개인정보 제공 및 활용 동의서' 제목을 담고 있고, 국가 연구 개발 사업 관련 규정 등의 표현도 존재한다.

이 문서파일에는 'BIN0001.eps' 악성 포스트 스크립트를 포함하고 있다. 이 스크립트 내부에는 악의적인 쉘코드가 포함되어 있으며, 해당 코드를 통해 또 다른 명령제어 서버로 접속을 시도하게 된다.

내부에 포함된 쉘코드는 암호화가 되어 있으며 복호화 과정을 거쳐 한국의 특정 웹 사이트와 통신을 시도하게 된다.

만약 해당 명령제어 서버와 통신을 성공하게 되면 추가적인 악성코드를 다운로드하고 실행하게 된다. 추가 악성코드에 노출될 경우 컴퓨터 자료 유출 및 원격제어 등의 피해로 이어질 수 있다.

공격자가 스피어 피싱을 시도할 때 악성 문서파일 뿐만 아니라 정상적인 PDF 문서파일도 함께 포함해 이용자를 현혹하는 전술을 파악했으며, 악성 HWP 문서 파일은 다음과 같은 실제 관련내용의 화면을 보여주어 이용자로 하여금 정상적인 문서로 오해하도록 유도한다.

▲ 악성 문서파일이 실행된 후 보여지는 화면
▲ 악성 문서파일이 실행된 후 보여지는 화면

ESRC 관계자는 "현재 HWP 문서 파일에 포함된 포스트 스크립트 취약점은 한컴 오피스 제품을 최신 버전으로 업데이트할 경우 고스트 스크립트 엔진 모듈이 제거되어 더 이상 위협에 노출되지 않는다"며 "따라서 반드시 최신 버전으로 업데이트해 위협요소를 사전에 제거해 사용해야 한다"고 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★