2024-03-29 07:40 (금)
[긴급] 2차 북미 정상회담 문서로 위장한 APT 공격 포착...한수원 공격 조직 소행 추정
상태바
[긴급] 2차 북미 정상회담 문서로 위장한 APT 공격 포착...한수원 공격 조직 소행 추정
  • 길민권 기자
  • 승인 2019.02.21 17:01
이 기사를 공유합니다

2월 21일 10시 45분에 제작된 악성문서로 확인...스피어피싱 공격으로 타깃에 유포

▲ 2월 21일 10시 45분에 제작된 악성문서. 스피어피싱 공격으로 타깃에 유포된 것으로 확인. 이스트시큐리티 제공.
▲ 2월 21일 10시 45분에 제작된 악성문서. 스피어피싱 공격으로 타깃에 유포된 것으로 확인. 이스트시큐리티 제공.
2월 21일 오전, 신규 APT 공격이 포착됐다. 이번 공격은 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장의 베트남 하노이 2차 북미 정상회담 결과에 대한 특별좌담회 초청 한글(HWP) 파일을 미끼로 사용했으며 특정 타깃에 스피어피싱으로 수행된 공격이다.

이스트시큐리티 시큐리티대응센터 (이하 ESRC) 측은 "이 공격은 특정 정부가 지원하는 해킹조직의 소행으로 분석되며, 2014년 한국수력원자력(한수원) 공격에 직접적으로 연결되어 있는 조직으로 추정된다. 지난 2018년 11월 27일 공개했던 '작전명 블랙 리무진(Operation Black Limousine)'의 후속 캠페인으로 확인됐다"고 설명했다.

ESRC는 좌담회 등의 키워드를 활용해 이번 APT 공격을 '작전명 라운드 테이블(Operation Round Table)'로 명명했다.

분석내용에 따르면, 해당 HWP 문서파일은 내부 코드 스트림이 한국시간(KST) 기준으로 2019년 2월 21일 10시 45분 (UTC+9)에 제작된 것을 알 수 있다.

문서파일 내부의 'BinData' 스트림에는 'BIN0003.eps' 포스트 스크립트(Post Script) 코드가 포함되어 있으며 취약점이 발생하는 구간이다.

악성 포스트 스크립트가 작동하게 되면 특정 명령제어로 통신을 시도해 공격자의 추가적인 명령을 수신한다. 그리고 정상적인 문서내용을 보여줘 이용자를 속인다.

'BIN0003.eps' 데이터에 포함되어 있는 악성 포스트 스크립트는 기존에 널리 사용되던 방식이 그대로 사용되었다.

포스트 스크립트 코드는 내부에 쉘코드 부분을 포함하고 있다. 쉘코드 내부에는 공격자가 설정한 명령제어 서버주소가 포함되어 있으며, 한국의 특정 서버로 통신을 시도한다.

악성코드가 C2 서버와 통신을 하게 되면, 'down.php' 명령에 의해 마치 이미지(PNG)로 위장한 암호화된 데이터를 수신한다.

그리고 암호화된 데이터는 복호화를 거쳐 임시 폴더에 '~emp.dll' 파일명으로 생성되어 추가적인 명령을 수행한다.

특히, 이 공격은 지난 2018년 11월 27일에 ESRC가 포스팅했던 '작전명 블랙 리무진(Operation Black Limousine)' 캠페인과 공격 TTPs(Tactics, Techniques and Procedures) 유사성이 매우 높다.

ESRC 측은 "2014년 한수원 공격에서 발견된 바 있는 쉘코드 기법과 동일한 것이 남북정상회담, 북미정상회담 등의 내용으로 수행된 APT 공격에서 지속적으로 발견되고 있으며, 가장 최근에는 '~emp.exe', '~emp.dll' 파일명 등으로 사용되었다"며 "이번 2차 북미정상회담 좌담회 등의 내용을 담고 있던 악성코드의 쉘코드 과정에서도 '~emp.dll' 파일명으로 사용된 것이 일치한다"고 설명했다.

ESRC는 "종합적인 위협 인텔리전스 분석을 통해 국가 차원의 특별 지원을 받는 위협그룹의 활동이 꾸준히 증가하고 있다"며 "HWP 문서파일의 취약점이 지속적으로 악용되고 있어, 이용자들은 설치된 한컴오피스 프로그램을 항시 최신 버전으로 업데이트해 유지하는 것이 중요하다. 현재 이 공격은 최신 버전으로 업데이트된 경우 취약점이 제거되어 사전에 예방이 가능하다"고 전했다.

보다 상세한 내용은 ESRC '쓰렛인사이드(Threat Inside)' 서비스를 통해 위협 인텔리전스 보고서와 IoC 등의 자료를 제공할 예정이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★