2024-03-28 22:40 (목)
특정 해킹조직의 'Konni' APT 캠페인과 '오퍼레이션 헌터 아도니스' 최근 행적
상태바
특정 해킹조직의 'Konni' APT 캠페인과 '오퍼레이션 헌터 아도니스' 최근 행적
  • 길민권 기자
  • 승인 2019.01.03 12:25
이 기사를 공유합니다

2018년 말부터 정책 또는 특정 암호화폐 지갑 관련 자료로 위장해 악성코드 공격

▲ 악성 매크로 코드 화면. ESRC 제공.
▲ 악성 매크로 코드 화면. ESRC 제공.
지난 2018년 말부터 정책 자료 또는 특정 암호화폐 지갑 관련 자료로 위장해 악성코드 공격을 진행하고 있는 사례가 발견돼 각별한 주의가 요구된다.

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)는 이번 공격의 연장선을 '작전명 헌터 아도니스(Operation Hunter Adonis)'로 명명해 지속적인 추적을 수행하고 있다고 밝혔다.

이번에 발견된 악성 문서 파일의 이름은 '젠트리온 지갑 관련자료.doc'이며, 문서 파일이 실행되면 매크로(콘텐츠 사용) 실행을 유도한다. 다만 이번 건은 젠트리온 지갑 자체에 문제가 있는 것이 아니다. 공격자들이 암호화폐와 관련된 사람들에게 악성코드를 유포하기 위함이다. 각별한 주의가 필요하다.

만약, 보안 경고를 무시하고 '콘텐츠 사용' 버튼을 클릭해 악성 매크로 코드가 실행되면 특정 명령제어(C&C) 서버와 통신을 시도한다.

DOC 문서 파일 내부에 포함되어 있는 악성 매크로 코드와 매크로에 포함된 sCL 스트링 캐릭터 코드도 확인됐다.

smo 코드의 명령을 통해 '1.txt' 파일이 연결되고, 추가적인 명령을 수행한다. '1.txt' 파일은 'certutil.exe' 명령어와 조합되어 Base64 코드가 디코딩된다.

실제 '1.txt' 파일은 웹 사이트에 마치 서명파일 형태처럼 위장되어 등록되어 있다.

해당 파일의 '-----BEGIN CERTIFICATE-----' 부분과 '-----END CERTIFICATE-----' 부분을 제거한 후 Base64 코드를 디코딩하면 배피파일 명령어 조합의 코드가 보인다.

배치파일은 '%PROGRAMFILES(x86)%' 폴더 존재여부에 따라 조건분기를 하게 되고, 결국 윈도우 운영체제 플랫폼에 따라 32비트의 경우에는 '2.txt', 64비트의 경우에는 '3.txt' 파일이 다운로드되어 디코딩되도록 설정되어 있다.

분석하던 시점에서 확인된 '2.txt' 파일과 '3.txt' 파일은 1바이트만 다르고, 다른 코드는 모두 동일했다. 실제 Base64 디코딩 후에 비교해 보면 압축시간만 다른 CAB 파일이 'setup.cab' 파일명으로 생성되고 내부에 존재하는 3개의 파일은 모두 같은 것으로 확인되었다.

'setup.cab' 내부에 3개의 파일이 존재하는데, '1.txt' 배치파일 명령에 의해 'install.bat' 파일이 실행된다.

'install.bat' 파일의 명령에 의해 압축 내부에 포함되어 있는 'Word.exe', 'winnet.ini' 파일이 복사되고 재부팅시 자동실행 되도록 레지스트리 Run 값에 등록된다.

'Word.exe' 파일은 MFC로 작성되었으며, Hide ALL IP 제품처럼 속성을 위장하고 있는 특징이 있다. 공격자가 사용한 변종 중에는 'Alzipupdate.exe', 'BrowserUpdate.exe' 등이 존재한다.

'BrowserUpdate.exe' 파일의 경우에는 'AhnLab V3Lite Setup Program' 속성으로 위장하고 있기도 하다.

'Word.exe' 파일은 인코딩되어 있는 'winnet.ini' 파일을 디코딩해 특정 명령제어(C2) 서버 103.249.31.159:7777 주소로 통신을 시도한다. 디코딩은 바이트별로 인덱스와 +1 XOR 연산을 수행한다.

세션이 연결되면, 문자열 'fxftest' 스트링 코드를 확인해 서버 통신 명령 가능 여부를 확인한다. 그리고 12가지의 추가 명령을 대기하게 된다.

C2 서버와 통신이 성공하게 되면 공격자는 추가로 팀뷰어 등 원격제어 기능의 추가 악성코드를 다운로드해 설치하기도 한다.

'fxftest' 문자를 사용하는 해당 악성코드는 중국어로 제작되어 있고, 2006년부터 중국 사이트에 Babyface 이름의 오픈소스 기반 트로이목마다.

ESRC 측은 "2014년 전후로 본격적인 활동이 포착된 Konni 시리즈는 최근까지도 활발한 위협 조직이다. 특히 한국어 기반으로 활동하고 북한관련 내용으로 공격을 자주했다"며 "흥미로운 점은 최근 사용된 추가 악성파일에서 김수키(Kimsuky) 시리즈에서 사용된 바 있는 Team Viewer 유사 모듈을 이용한 공격 기법이 보고되기도 해, False Flag 가능성 등을 포함해 다양한 TTPs, IoC, IoA 등을 기반으로 면밀한 연구가 필요하다"고 설명했다.

한편 Konni 조직은 2014년까지 위협 이력이 거슬러 올라가지만, 최근 몇년 사이 공격코드들의 변화를 비교해 보면 어떤 방식으로 진화하고 있는지 살펴볼 수 있다.

최근 주로 사용되고 있는 MS 워드 매크로 기반 악성코드를 비교해 본 자료다.

▲ Konni 시리즈 MS Word 기반 악성파일 비교 자료
▲ Konni 시리즈 MS Word 기반 악성파일 비교 자료

ESRC는 이와 관련된 공격을 추적 분석하면서 공격 데이터에서 'ADONIS'라는 계정을 발견했다. 'ADONIS'는 그리스 신화에 나오는 인물이다.

사이버 위협 조직들이 보통 그리스 신화의 등장인물 계정을 사용하는 경우도 종종 있지만, 이 계정이 다른 악성코드에서 추가로 발견될지에 주목하고 있다.

▲ ADONIS 계정이 포함된 악성 코드 화면
▲ ADONIS 계정이 포함된 악성 코드 화면

ESRC 측은 "KONNI 위협그룹이 어떤 국가기반으로 활동을 하고 있으며, 앞으로 어떠한 행동을 할지에 집중 모니터링을 수행하고 있다"며 "'KONNI' 캠페인과 관련한 보다 상세한 내용은 '쓰렛 인사이드'의 위협 인텔리전스 리포트를 통해 자세한 내용이 공개되어 있으며, 지속적으로 정보를 제공할 예정"이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★