북한 정부 후원 추정 김수키(Kimsuky) APT 그룹이 최근 탈북민 관련 정보를 담은 문서로 공격한 정황이 포착됐다.

이스트시큐리티 ESRC(시큐리티대응센터)에 따르면, 이번 공격은 지난 5월 29일 자유아시아방송을 통해 알려진 'DC 북인권단체에 북한 추정 사이버 공격 잇따라 포착' 내용과 연결되고 있다고 전했다.

한편 주목할 점은, 이번 공격에 사용된 악성 MS워드(.doc) 문서파일이 라자루스(Lazarus) APT 그룹이 과거에 수차례 공격에 사용한 바 있는 VBA 매크로 코드 방식을 도입했다는 것이다. 물론 교란 전술의 일환일 수도 있다.

ESRC 분석자료에 따르면, 악성 문서를 실행하면 영어로 작성된 탈북민 인터뷰가 포함되어 있다. 그리고 '콘텐츠 사용' 버튼이 보여진다.

워드 문서의 악성 기능은 VBA 내부에 포함되어 있는 악성 매크로 함수에 의해 작동하는데, 최근 사례에서는 식별된 바 없는 Anti-VM 기능을 탑재하고 있다.

그리고 매크로 함수는 간단한 암호화 루틴에 의해 문자열들이 모두 인코딩되어 있다. 디코딩 과정을 통해 Anti-VM 기능 함수를 확인할 수 있다. 특정 영역에는 16진수 문자열로 선언된 악성 바이너리가 포함되어 있다.

내부 명령에 의해 16진수 문자열들이 조합되고, XOR 복호화를 통해 32비트 악성 'winload.exe' 파일이 생성된다. 그리고 이 파일은 UPX로 실행압축되어 있다.

디지털 서명을 보면, 발급자가 인증서를 해지한 상태이고 서명자 이름은 'EGIS Co., Ltd.'다. 이 서명자는 과거 김수키(Kimsuky) 그룹이 수차례 사용한 것으로 보고된 바 있다.

winload.exe 파일에는 'BINARY', 'EXE' 리소스가 포함되어 있는데, 각 리소스가 한국어로 설정되어 있어, 개발자가 한국어 기반에서 제작했음을 알 수 있다.

악성 실행 파일은 UPX로 실행압축된 형태이며, 빌드시간이 2016년 7월 30일로 조작한 것으로 분석된다. 그리고 PDB 정보가 존재한다.

내부에 API 함수와 일부 문자열들은 doc 문서와 동일한 방식으로 인코딩되어 있다. 따라서 디코딩 과정을 거쳐야 육안상 식별하는데 용이하다. 악성 실행 파일 내부에도 주요 문자열이 인코딩되어 있고, Anti-VM 기능을 가지고 있다.

명령제어(C2) 문자열은 인코딩되어 있고, 복호화를 하면 'wave.posadadesantiago[.]com' URL 주소가 나타난다.

2017년 라자루스 조직이 사용한 악성 doc 문서와 2020년 김수키 조직이 사용한 악성 doc 문서의 내부 매크로 함수를 비교하면 다음과 같다.

ESRC 관계자는 “2020년 상반기 내내 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121), 코니(Konni) 등의 북한 정부 후원으로 추정되는 APT 그룹이 한국 등을 상대로 활발한 위협 활동을 진행 중인 것으로 조사됐다”며 “이들 위협 조직들은 주로 외교, 통일, 안보분야 및 대북관련 탈북민, 언론기자 등을 상대로 지속적인 공격을 유지하고 있다. 각별한 주의가 필요하다”고 당부했다.

보다 상세한 침해지표(IoC) 및 위협 인텔리전스 리포트는 ESRC '쓰렛인사이드(Threat Inside)' 서비스를 통해 지속적으로 제공할 예정이다.

★정보보안 대표 미디어 데일리시큐!★