2024-03-28 22:00 (목)
특정 정부지원 해킹그룹의 계속 되는 한국 공격...목적은 외화벌이
상태바
특정 정부지원 해킹그룹의 계속 되는 한국 공격...목적은 외화벌이
  • 길민권 기자
  • 승인 2019.03.29 14:08
이 기사를 공유합니다

개인적 사이버 범죄 수준이 아닌 국가단위의 사이버 안보위협으로 인식해야

hhh-1.jpg
지난 3월 15일 안랩의 ASEC 분석팀은 '코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드'의 위험성을 알리는 분석자료를 발표한 바 있다. 이어 이스트시큐리티에서는 최근에 이 유형의 위협 시리즈가 주로 한국에서 발견되고 있고, 변종 유포 정황 역시 꾸준히 포착되고 있어 각별한 주의가 요구된다고 강조했다.

물론 공격 벡터에 일부 차이가 있지만 해외 보안업체를 통해 연관된 내용이 보고된 바 있는데, 팔로알토네트웍스 유닛42에서 지난 2월 'New BabyShark Malware Targets U.S. National Security Think Tanks'라는 분석 내용을 공개한 바 있다.

현재 한국 내 공격 목표는 비트코인과 같은 일종의 암호화폐(외화벌이 수단)로, 코인 관련 개인정보를 교묘히 탈취해 금전적 고수익을 얻기 위한 조직적 해킹 수단으로 악용되고 있다. 그리고 개인적 사이버 범죄 수준이 아닌 국가단위의 사이버 안보위협으로 인식해야 할 수준이다.

이스트시큐리티 ESRC는 이 공격의 배후에 '특정 정부의 후원을 받는 조직(state-sponsored actor)'이 존재하며, 과거 국제 외교˙통일˙안보 라인을 공격했던 인물이 가담한것으로 분석하고 있다.

기존의 '오퍼레이션 베이비 코인', '오퍼레이션 미스터리 베이비' 위협 사례를 소개하면서, 두 경우 모두 한국의 특정 보안 프로그램처럼 위장해 실체를 숨기려는 시도와 '베이비(baby)'라는 특정 키워드를 빈도수 높게 사용함에 주목했다.

ESRC는 일명 '베이비 캠페인'의 위협이 갈수록 거대해지고 있다는 점에 착안해 이번 공격 리포트를 '오퍼레이션 자이언트 베이비(Operation Giant Baby)'로 명명했고, 이들은 코바웨어(Covaware)라는 폴더에서 작전을 수행 중이다.

공격자가 사용한 코바(Cova)라는 표기는 '코'인 '바'이러스(Coin Virus)의 이니셜을 변환해 표현한 것으로 추정된다.

얼마전 안랩 ASEC 분석팀에서 공개했던 'ABBCcoin - 지갑' 파일로 위장한 공격 코드가 기존 명령제어(C2) 서버를 그대로 활용해 새로운 변종을 유포한 것으로 확인됐다.

이번 변종 공격에서도 이전 코드와 큰 변화는 없으며, C2 서버 주소만 일부 변경됐고, 통신하는 방식과 공격자의 고유 속성 정보들은 일정 범위에서 크게 벗어나진 않았다.

흥미로운 점은 공격자가 한국의 특정 보안 프로그램 아이콘 리소스를 변경하지 않고 계속 도용해서 쓰고 있다는 점이다.

악성 파일은 중복 실행을 방지하기 위해 뮤텍스(Mutex) 코드를 "_MY_BABY_" 값으로 설정하고, '%Appdata%Roaming' 경로에서 'abbc.log' 파일을 확인한다. 그리고 '123456789' 코드 존재 유무를 비교해 조건이 성립할 경우 메인 함수를 로딩하게 된다.

정상적으로 조건 분기가 성립되면 한국의 특정 C2 서버로 통신을 시도하고 RC4 알고리즘으로 암호화된 추가 데이터를 다운로드한다. C2 서버와 통신이 성공하면, 'store32.sys', 'sys32.msi' 파일을 다운로드 시도한다.

참고로 다운로드를 수행하는 숙주는 'Run' 레지스트리 경로에 마치 안랩 모듈로 위장하기 위해 'Ahnlab' 키로 자신을 등록한다. 그러면 윈도우 운영체제가 재시작할 때마다 자동 실행되어, 공격자가 C2 서버에서 언제든지 변종을 유포할 수 있게 되며 잠재적인 위협요소도 작동하게 된다.

현재 ESRC는 한국인터넷진흥원(KISA) 등에 변종 유포 내용을 공유하고, 신속히 조치될 수 있게 긴밀하게 협력하고 있다고 밝혔다.

한편 ESRC는 "최근까지 유포 중인 변종 코드를 확보해 분석해 본 결과 흥미로운 점들이 몇가지 확인됐다"며 "한국시간 기준으로 2019년 3월 24일 새벽 2시 26분에 32비트 기반의 DLL 형태로 제작되었으며, 내부 익스포트 함수명이 'Covaware.dll' 이름으로 사용되었다. 또한 내부에 '코바 2.0' 이라는 한글 표현식을 포함하고 있다"고 설명했다.

- I:Programs코바2.0CovawareRelease32.pdb

설치된 추가 악성 파일들은 키보드 입력 내용이나 쿠키 정보, 클립보드, 웹 브라우저 계정정보 등을 수집해 또 다른 C2 서버로 탈취를 시도한다.

특히 각종 문서, 압축, 이미지 유형의 확장자 파일 목록과 암호화폐 관련 키워드를 포함하는데 한글 표현과 함께 한국에서 주로 이용하는 프로그램 형식이 존재한다.

한편 이들이 사용하는 로그인 암호로 'wjsgurwls135' 알파벳+숫자 문자열 등이 사용되는데 흥미롭게도 여기서 사용된 암호문자열은 한글로 완벽하게 변환이 되고 있다.

-wjsgurwls135 = 전혁진135 => Jeon Hyok Jin 135 = JHJ135

그리고 이전에 유사 변종에서 사용된 암호 'jhj135' 문자열 스타일도 전혁진의 영문식 이름의 이니셜과 정확히 일치한다는 것을 알 수 있다.

ESRC 측은 "이처럼 정부차원의 명령을 받는 것으로 추정되는 공격자의 활동이 한국에서 매우 활발하게 진행되고 있다. 각별한 주의가 필요하다"고 강조했다.


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★