2024-03-29 05:25 (금)
대북 관계자 타깃 APT 공격 목적 스피어 피싱 메일 유포돼
상태바
대북 관계자 타깃 APT 공격 목적 스피어 피싱 메일 유포돼
  • 길민권 기자
  • 승인 2019.04.29 17:24
이 기사를 공유합니다

ESRC "금성121 조직의 APT 공격은 꾸준히 진행되고 있어...주의"

▲ 한국의 이메일 서비스로 수행된 스피어 피싱 화면
▲ 한국의 이메일 서비스로 수행된 스피어 피싱 화면
지난 주말 또다시 대북관련 단체 등에서 활동하는 주요 인사들에게 APT 공격이 수행된 정황이 포착됐다. HWP 문서파일 취약점을 악용한 공격이 지속적으로 이루어지고 있어 각별한 주의가 요구된다.

이스트시큐리티 ESRC측에 따르면 "최근 한국에서 발견되는 다수의 APT 공격은 HWP 문서파일 취약점을 기반으로 하고 있다. 이번에 발견된 사례 역시 동일하게 HWP 취약점이 악용되었다"며 "특히 이번 스피어 피싱 공격에는 자세한 설명이나 내용 없이 배포되었다. 수신자가 단순 호기심에 첨부파일을 열어보도록 유인한 것"이라고 설명했다.

한편 ESRC는 이번 APT 공격이 '금성121(Geumseong121)'조직이 수행 중인 로켓맨 캠페인의 일환이라는 것을 확인했다고 밝혔다.

공격벡터에는 마치 정상적인 배너 이미지파일 처럼 위장한 악성코드가 사용되었는데, 이러한 특징을 활용해 사이버 작전명을 '블랙 배너(Operation Black Banner)'로 명명했다.

공격에 사용된 이메일은 지난 주말 기간 다양한 사용자들에게 배포된 것으로 추정되며, 주로 대북관련 단체에서 활동한 사람들이 주요 표적이었다.

[그림 1] 한국의 이메일 서비스로 수행된 스피어 피싱 화면

ESRC 분석에 따르면, 공격자는 29KB 크기의 HWP 문서파일을 첨부해 공격을 수행했으며, 이메일 본문에는 별다른 내용을 포함하고 있지 않았다. HWP 문서 파일의 BinData 스트림에는 'BIN0001.eps' 포스트 스크립트(Post Script)가 포함되어 있다.

포스트 스크립트와 쉘코드가 정상적으로 작동하면 한국의 특정 웹 사이트로 통신을 시도한다. 호스트와 통신이 이뤄지면, 파일명이 GIF 이미지 파일처럼 위장한 파일을 다운로드하는데, 실제로는 32비트 악성 EXE 파일이다. 악성 파일은 한국시간 기준 4월 18일에 제작되었으며 UPX 스크램블 기법이 적용되어 있다. 악성 파일은 4월 29일 현재, 한국의 특정 웹 사이트에 등록되어 있다.

ESRC에서 이번 악성코드를 분석한 결과, 금성121 위협조직이 배후에 있다는 단서들을 확보했다. 악성코드는 'sogoupin.exe' 파일명으로 등록되며 한국의 특정 C2 주소로 통신을 시도한다.

C2 서버와 통신을 할 때 'srvrlyscss' 스트링이 사용되는 것을 볼 수 있는데, 이 문자열은 기존 유사 침해사고에서 지속적으로 발견되고 있다. 이 약어는 Server Relay Success 줄임말로 추정된다.

이 문자열은 이스트시큐리티의 '금성121 그룹의 최신 APT 캠페인-'작전명 로켓 맨(Operation Rocket Man)'' 리포트 등에서 공개된 바 있다. 그리고 C2 주소로 사용된 'youngs.dgweb.kr' 도메인은 '로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)'' 리포트에서 동일하게 사용된 바 있다.

공격자는 기존부터 동일한 TTPs(Tactics, Techniques, and Procedures) 기반의 공격 벡터를 그대로 재활용하고 있는 상태임을 알 수 있다.

ESRC 측은 "금성121 조직의 APT 공격은 꾸준히 진행되고 있다. 주로 스피어 피싱 공격이 포착되고 있으며, HWP 문서 파일의 취약점을 활용하고 있다"며 "이들 조직이 특정 정부의 후원을 받는 것으로 확신하고 있으며 위협 인텔리전스 기반으로 리서치를 진행하고 있다"고 밝혔다.

한편 이번 공격에 사용된 것은 제로데이 취약점은 아니다. 이미 보안패치가 완료된 것이 지속적으로 악용되고 있는 것이다. 이용자들은 반드시 최신 버전으로 문서 소프트웨어를 업데이트해 유사한 위협에 노출되지 않도록 각별한 주의를 기울여야 한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★