2020-11-25 14:45 (수)
북한 정부 지원 추정 '금성121' 해킹공격그룹, 변칙적 워터링 홀 공격 시도 포착
상태바
북한 정부 지원 추정 '금성121' 해킹공격그룹, 변칙적 워터링 홀 공격 시도 포착
  • 길민권 기자
  • 승인 2020.06.05 17:12
이 기사를 공유합니다

정부차원의 후원 받으면서 과감하고 노골적인 해킹 작전을 수행 중
금성121 조직이 사용했던 위협 사례 화면
금성121 조직이 사용했던 위협 사례 화면

북한 정부가 지원하는 것으로 추정되는 '금성121(Geumseong121)' 사이버공격 그룹이 새로운 방식을 도입해 APT 공격을 수행하고 있는 것으로 드러나 각별한 주의가 요구된다.

이스트시큐리티 ESRC는 지난 2020년 5월 19일, ‘금성121 조직, 국회 사무처 사칭으로 APT 공격 수행】 포스팅을 공개한 바 있다. 이외에도 ‘통일 정책분야 연구원으로 사칭한 ‘금성121’ APT 공격 주의’ 내용 등으로 이들 그룹의 활발한 위협 인텔리전스 정보를 지속적으로 공유하고 있다.

이번에 분석된 사례는 마치 워터링 홀(Watering Hole) 공격처럼 타깃 분야 웹 사이트에 접속한 사람들만 악성파일에 노출되도록 수행 중이며, 기존에 주로 알려지지 않은 공격 벡터를 쓰고 있는 것으로 조사됐다.

현재 '금성121'이 활용 중인 웹 기반 공격 전략은 웹 브라우저 취약점을 쓰거나 악성 스크립트를 사이트에 삽입하는 것이 아니라, 웹 사이트 안내 게시판에 악성 hwp 문서파일이 등록되도록 만드는 것이다.

한편 해커가 직접 대상 웹 서버를 침투해 기존에 등록된 정상 hwp 문서를 악성으로 교체한 것인지, 아니면 글 등록 담당자의 컴퓨터를 해킹해 이미 작성된 문서에 악성코드를 삽입 변조해 정상적인 절차로 등록되도록 만든 것인지 여부는 추가 조사가 필요한 상태다.

이런 위협은 평소 아무 의심없이 접속하던 다수의 이용자들은 첨부된 파일을 열람하고, 문서파일 취약점이 존재하는 경우 바로 위협에 노출되는 방식이다.

이스트시큐리티 ESRC는 지난 수개월 간 국내에서 운영 중인 다수의 북한관련 웹 사이트가 이처럼 변칙적인 방식의 워터링 홀 공격에 노출된 것을 식별했고, 위협 배후 분석결과 모두 '금성121' 그룹으로 분류된 상태다.

악성 hwp 문서파일은 해커 의도에 따라 여러가지 형태가 배포되고 있으며, 무슨 취약점과 어떤 과정으로 악성 파일이 등록됐는지 정확한 침해사고 원인파악이 되지 않을 경우 지속적 위협에 노출될 가능성도 배제하기 어렵다.

악성 hwp 문서가 실행된 후 보여지는 화면
악성 hwp 문서가 실행된 후 보여지는 화면

최근에 관찰된 악성 문서파일은 '2020학년도 모집공고역사.hwp' 파일명으로, 역사과목을 담당할 기간제교원을 모집하는 내용을 담고 있다.

해당 문서파일이 실행되면 다음과 같은 본문 내용이 보여지게 되며, 취약점에 따라 악의적인 명령이 수행된다.

이번에 새롭게 탐지된 악성 hwp 문서파일은 2020년 상반기에 수행된 공격 중에 하나로, 문서 내부에 'BIN0001.ps' 포스트 스크립트(Post Script) 스트림을 내장하고 있다.

포스트 스크립트는 코드 분석 및 탐지가 어렵도록 인코딩 방식이 적용되어 있고, 디코딩 과정을 거치면 내부에 쉘코드(shellcode)가 포함된 명령어들이 존재한다.

쉘코드 명령에 의해 8바이트의 특정 오프셋 바이트 값을 확인하고, 포스트 스크립트 하단 영역에 인코딩되어 숨겨져 있던 페이로드(Payload) 디코딩 호출 및 인젝션 기능을 수행한다.

디코딩 루틴을 거치면 포스트 스크립트 하단에 인코딩되어 존재하던 PE 파일의 모습이 나타난다. 해당 파일은 파일리스(Fileless) 기법으로 작동하며, 32비트 exe 파일이다.

악성 파일은 ‘위장 탈북 증거로 유인한 '금성121' APT 조직의 스파이 클라우드 공격 등장’ 사례와 마찬가지로 해외 클라우드(pcloud) 서버로 탈취된 이용자 정보를 은밀히 유출시키고 있다.

그리고 공격자 의도에 따라 추가 악성파일이 설치되어 예기치 못한 원격제어 피해 등으로 이어질 수 있게 된다.

ESRC는 공격자들이 사용한 클라우드 가입 정보를 확인했는데, 기존 '금성121' 조직이 사용한 것과 유사하게 러시아 얀덱스 이메일 계정을 사용했다.

이들은 클라우드 서비스 등에 가입할 때 한국 카카오의 한메일, 미국의 구글 지메일, 러시아의 얀덱스 이메일을 자주 사용하고 있다.

ESRC는 “'금성121' 조직은 라자루스(Lazarus), 김수키(Kimsuky), 코니(Konni) 등과 함께 대한민국을 상대로 지속적인 사이버 안보 위협활동을 하고 있다”며 “이 조직들은 정부차원의 후원을 받으면서 과감하고 노골적인 해킹 작전을 수행 중이고, 갈수록 위협이 정교화·고도화되는 실정이다”라고 강조했다.

★정보보안 대표 미디어 데일리시큐!★