이스트시큐리티 ESRC는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행이라고 밝혔다.
ESRC 분석에 따르면, 이번 공격에 사용된 문서는 6월 12일에 마지막으로 수정되었으며 사용된 계정은 '금성121' 조직이 APT 공격시에 여러 번 사용한 계정인 것으로 확인됐다.
한글 HWP 문서 파일의 내부 'BinData'에는 'BIN0002.ps' 포스트 스크립트 코드가 포함되어 있으며, 실행 시 정상적인 신청서 화면을 보여준다.
문서 내부 데이터를 분석한 결과 포스트 스크립트 코드가 포함되어 있었으며 포스트 스크립트는 인코딩 방식으로 자체 암호화되어 있다.
인코딩 영역을 변환하면 한번 더 포스트 스크립트 코드가 나타난다. 변환된 포스트 스크립트 코드에는 쉘코드가 16진수 값으로 포함되어 있으며, XOR 0x63 키로 암호화되어 있다.
쉘코드는 'BIN0002.ps' 영역에 암호화되어 있는 최종 바이너리를 'label.exe' 또는 'sort.exe' 코드에 인젝션해서 로드합니다. 그리고 드롭박스(Dropbox) 토큰을 통해 C2 서버와 통신을 시도하게 된다.
최종 바이너리는 드롭박스(Dropbox) 토큰과 API 명령을 통해 공격자의 추가 명령을 수행하게 된다.
ESRC에서는 이번 공격과 관련된 추가 침해지표(IoC)와 인텔리전스 분석자료 등을 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 별도로 제공할 예정이다.
한편 ‘금성121’ 조직은 올해 4월 '[한국정치학회] 춘계학술회의 프로그램.hwp' 파일로 위장한 공격을 시도한 바 있으며 지난해 11월에는 '델파이 설문지-고려대' 제목으로 한국의 특정 분야에 있는 사람들에게 스피어 피싱 공격을 수행한 바 있다. 이외에도 모바일 공격을 위해 스파이앱을 유포하는가 하면 플래시 플레이어 제로데이 취약점을 이용한 공격도 진행한 바 있다.
‘금성121’조직은 해외 글로벌 보안기업들에 따라 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등으로 불리기도 한다.
★정보보안 대표 미디어 데일리시큐!★
