2019-08-18 23:48 (일)
7일 새벽, 통일부 기자단 타깃 APT 공격 발생...스피어피싱 공격 확인돼
상태바
7일 새벽, 통일부 기자단 타깃 APT 공격 발생...스피어피싱 공격 확인돼
  • 길민권 기자
  • 승인 2019.01.07 15:18
이 기사를 공유합니다

'오퍼레이션 코브라 베놈'...'Windows 스크립트 파일(.wsf)' 이용한 공격...주의

▲ 실제 공격에 사용된 해킹 이메일 화면. 이스트시큐리티 제공.
▲ 실제 통일부 기자를 상대로 공격에 사용된 해킹 이메일 화면. 이스트시큐리티 제공.
오늘 1월 7일 새벽 1시경, 통일부 등을 출입하는 언론사 기자들의 이메일을 타깃으로 한 스피어 피싱 공격이 확인됐다.

이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)는 이번 공격을 '오퍼레이션 코브라 베놈(Operation Cobra Venom)'으로 명명하고 있다.

해당 이메일 수신처에는 약 77명의 언론사 소속 기자들이 포함되어 있다.

이메일 첨부파일에는 'TF 참고.zip' 파일이 존재하며 압축파일에는 암호가 걸려 있다. 공격자는 이메일 본문에 비밀번호의 약어인 '비번'의 표현을 쓴 것으로 확인됐다. 공격자가 구글 번역기를 이용하지 않았고 실제 한국에서 주로 사용하는 줄임말을 사용할 수 있는 것을 알 수 있다.

압축파일 내부에는 3개의 파일이 포함되어 있다. 2개의 정상적인 PDF 문서와 HWP 파일로 위장한 1개의 악성 EXE 파일이 존재한다.

'미디어 권력이동⑥-넷플렉스, 유튜브.hwp' 파일은 마치 아이콘과 확장자가 HWP 문서처럼 보이지만, 실제로는 다수의 공백을 포함한 2중 확장자 기반 EXE 유형의 악성 파일이다.

▲ 압축 파일 내부에 존재하는 추가 파일 화면
▲ 압축 파일 내부에 존재하는 추가 파일 화면

'미디어 권력이동⑥-넷플렉스, 유튜브.hwp <다수의 공백> .exe' 파일은 SFX 압축기반으로 만들어진 일종의 실행가능형 압축파일로, 내부에 또 다시 3개의 파일이 포함되어 있다.

마치 HWP 문서파일 처럼 위장한 EXE 파일은 내부에 3개의 파일을 포함하고 있다. 2019년 1월 7일 새벽 1시 1분에 포함된 것을 확인할 수 있다.

실제 공격 이메일이 7일 새벽 1시 21분 경 발송된 상태이기 때문에 타임라인 상 시간대가 정확히 일치하는 것을 확인할 수 있다.

내부에 포함되어 있는 3개의 파일 중에 '1.hwp' 파일은 EXE가 실행될 때 보여주는 정상적인 HWP 문서파일이며, 나머지 '2.wsf', '3.wsf' 파일 2개가 악성 스크립트 파일의 기능을 수행한다.

다음은 악성코드가 작동시 보여지는 정상적인 문서 파일이다.

▲ 기자들에게 전달된 악성코드가 작동시 보여지는 정상적인 문서 파일
▲ 기자들에게 전달된 악성코드가 작동시 보여지는 정상적인 문서 파일
먼저 '2.wsf' 파일은 윈도우 스크립트 파일(.wsf) 확장자를 가지고 있으며 내부에 악성 명령을 통해 특정 구글 드라이브로 연결을 시도한다.

악성 스크립트가 작동하면 Base64 코드로 인코딩되어 있는 'brave.rar' 파일이 다운로드되고, 다시 복호화 과정을 거쳐 'ProgramData' 경로에 'Freedom.dll' 악성파일(32비트)이 생성된다.

만약 시스템이 64비트 플랫폼이면, 'Freedom.dll' 파일에 의해 'AhnLab.ini' 명령을 로딩하고, 암호화된 'AhnLab.cab' 파일이 추가 다운로드되고 'AhnLabMon.dll' 이름의 악성파일(64비트)로 생성된다. 이는 마치 한국의 보안솔루션 모듈처럼 파일명을 위장하고 있다.

최종 페이로드 중에 하나인 'Freedom.dll' 악성파일의 경우 제작날짜가 한국시간 기준으로 '2019-01-07 16:28:29' 인것으로 미루어, 의도적으로 시간을 조작했음을 알 수 있다.

공격자는 구글 드라이브를 통해 추가적인 파일을 받아오는데, 'bbs.txt', 'gnu.txt', 'dll.txt' 등이 존재한다. 해당 파일에는 명령제어 서버의 호스트 도메인이 포함되어 있다.

이 도메인을 통해 공격 명령은 작동하게 되며, 윈도우 운영체제의 빌드 버전과 비트수를 표기하게 된다. 그리고 이후에 감염컴퓨터 신호에 코브라(Cobra)라는 접두어를 붙여 전송을 시도한다.

이렇듯 C2 서버와 하위 명령을 구분, 추후 공격자에 대한 분석과 포렌식이 어렵도록 구성한 것이 특징이다.

악성코드에 감염되면 컴퓨터 정보 등이 외부로 유출될 수 있으며, 추가 명령에 의해 또 다른 원격제어 등의 악성파일에 노출될 수 있어 각별한 주의가 필요하다.

'Windows 스크립트 파일(.wsf)' 유형의 APT 공격은 한국에서 자주 목격되지는 않는다. 하지만 2018년 1월 경에도 이와 비슷한 형태가 보고된 바 있다.

당시, '정보보고.wsf' 파일이 언론사를 상대로 공격이 시도된 정황이 포착된 바 있고 이번과 유사하게 특정 인자를 받아 명령을 수행하게 된다.

이때 사용된 스크립트의 화면을 보면, 이번과 동일하게 코드배치와 파라미터가 사용된다는 것을 알 수 있다.

또한 'Freedom.dll' 악성파일은 'AhnLab.ini' 설정파일 조건에 따라 한국의 또 다른 특정 서버로 통신을 시도하는데, 사용된 도메인은 암호화가 되어 있다. 접속을 시도하는 C2는 'ago2.co.kr'이다.

'ago2.co.kr' 명령제어 서버는 2017년 5월경에 제작된 또 다른 변종에서도 사용된 이력이 존재한다. 그런데 해당 악성코드와 하위주소 등이 비슷하게 사용되었다.

이외에도 다운로드된 파일의 디코딩 함수와 문자열 디코딩 방식이 모두 동일한 패턴으로 사용되었다.

ESRC 측은 "이외에도 다양한 정황들이 매우 높은 유사성을 보여주고 있어 동일한 위협조직으로 추정하고 있다"며 "공격에 사용된 각종 IoC 데이터와 추가 분석자료는 추후 쓰렛 인사이드 서비스를 통해 제공할 예정"이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★