2020-09-28 05:25 (월)
북한 해킹그룹으로 추정되는 조직, 청와대 보안 이메일 사칭 APT 공격 포착
상태바
북한 해킹그룹으로 추정되는 조직, 청와대 보안 이메일 사칭 APT 공격 포착
  • 길민권 기자
  • 승인 2020.06.19 10:51
이 기사를 공유합니다

청와대 로고 찍힌 보안 이메일 파일 전파...'김수키(Kimsuky)' 조직 소행인 것으로 분석

북한발 사이버공격으로 추정되는 한국내 타깃공격이 지속적으로 발행하고 있다. 6월 19일 새벽, 대한민국 청와대 로고가 찍힌 보안 이메일 파일이 전파되기 시작했다. 분석결과, 해당 악성 메일은 청와대 보안 메일이 아닌 북한 정부 후원으로 추정되는 해킹그룹 '김수키(Kimsuky)' 조직의 소행인 것으로 분석됐다. APT(지능형지속위협) 공격용 악성파일 변종이 복수로 발견된 것이다. 각별한 주의가 요구되는 시점이다.

이스트시큐리티 ESRC(시큐리티대응센터)에 따르면, 악성파일은 청와대 로고 이미지 아이콘을 가지고 있으며, 변종 악성코드에 따라 제작된 날짜가 조금씩 다르다.

가장 최근에 제작된 날짜는 한국시간(KST) 기준으로 2020년 6월 19일 12시 44분 47초다.

ESRC는 해당 악성파일을 긴급 분석한 결과, 특정 정부와 연계된 것으로 알려진 이른바 '김수키(Kimsuky)' 조직의 '블루 에스티메이트' 위협 캠페인의 연장선으로 확인했다.

'블루 에스티메이트' APT 캠페인은 지난 2019년 12월 4일 ‘김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격’ 작전으로 시작되었다.

그리고 알약 블로그에 공개된 이력 기준으로 2020년 3월 2일 ‘이력서로 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part5' APT 공격 주의'’ 공격까지 계속 이어지고 있다. 물론, 공개되지 않은 위협 사례까지 포함하면 더 많은 공격들이 진행되고 있을 것으로 추정된다.

ESRC는 위협 모니터링 과정 중에 윈도우 스크립트 파일 유형으로 제작된 'bmail-security-check.wsf' 악성 스크립트 코드를 발견했다.

스크립트 코드 내부에는 Base64 코드로 인코딩된 데이터가 포함되어 있고, 디코딩 과정을 거치면 'bmail-security-check.exe', 'AutoUpdate.dll' 파일 등이 생성된다.

청와대 이미지의 악성파일 아이콘
청와대 이미지의 악성파일 아이콘

특히, 'bmail-security-check.exe' 악성코드는 대한민국 청와대 로고 이미지를 아이콘으로 사용하고 있어 충격을 주고 있다.

'bmail-security-check.exe' 악성파일은 한국시간(KST) 기준으로 '2020-06-18 15:34:15' 시점에 제작되었다. 그리고 별도 추가 발견된 변종 'bmail-security-check.scr' 파일은 '2020-06-19 12:44:47' 시점에 만들어진 상태다.

악성파일은 UPX로 실행압축되어 있으며, 'bmail-security-check.exe' 파일이 실행되면 악성파일 실행시 보여지는 메시지 창 화면이 보인다.

'bmail-security-check.exe' 파일에는 '보안메일 현시에 안전합니다.'라는 메시지 박스가 나타나는 알림 기능을 가지고 있는데, 여기에 '현시'라는 표현은 북한식 언어 표기법이다.

또한 제작자가 악성파일 개발 당시 사용한 PDB(Program Data Base)경로도 확인됐고, Base64 코드로 인코딩되어 있던 'AutoUpdate.dll' 파일은 'ProgramData\Software\Microsoft\Windows\Defender' 하위경로에 자신을 숨기고 악의적인 기능을 수행하게 된다.

페이로드(Payload) 역할을 수행하는 'AutoUpdate.dll' 악성 파일은 UPX로 실행압축되어 있고, 익스포트(Export) 함수로 'dropper-regsvr32.dll' 이름을 가지고 있으며, 'autobicycle001', 'autobicycle002' 등을 가지고 있다.

악성파일은 명령제어(C2)서버로 통신을 시도하게 되며, 감염된 컴퓨터의 정보를 보내고, 공격자의 추가적인 명령을 지속적으로 대기하게 된다.

공격자의 의도에 따라 원격제어 등 예기치 못한 피해가 추가로 이어질 가능성이 높은 상황이다.

C2 주소로 접속시 청와대 주소로 이동되는 화면
C2 주소로 접속시 청와대 주소로 이동되는 화면

분석 시점 당시 'security-confirm.bmail-org[.]com/pages' 주소로 접속하면, 청와대 홈페이지로 변경되는 것이 확인되었다.

ESRC 측은 “특정 정부의 후원을 받고, 연계된 것으로 확신하는 이른바 '김수키(Kimsuky)' 조직의 APT 활동이 꾸준히 이어지고 있다. 특히, 이들 조직이 최근까지 가장 왕성하게 사용하는 '스모크 스크린(Smoke Screen)'과 '블루 에스티메이트(Blue Estimate)' 캠페인은 대표적인 김수키 조직의 APT 공격 활동”이라며 “최근 김수키 조직이 마치 라자루스(Lazarus)처럼 위장한 기법을 도입하는 등 갈수록 고도화되고 있다. 각별한 주의와 이와 관련 사이버보안 인텔리전스 정보를 활용하는 것도 중요하다”고 강조했다.

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-일 시: 2020년 7월 15일(수) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)