2019-08-20 12:33 (화)
한수원 해킹조직, 최근 韓-美 동시 공격으로 정보탈취...외화벌이도 열심...카카오톡 계정도 사용
상태바
한수원 해킹조직, 최근 韓-美 동시 공격으로 정보탈취...외화벌이도 열심...카카오톡 계정도 사용
  • 길민권 기자
  • 승인 2019.04.17 11:36
이 기사를 공유합니다

ESRC "대북 관계자 대상 스피어피싱 공격 발생...한수원 해킹 공격 배후와 동일 조직"

cyber-security-3480163_640.jpg
한국의 대북관련 분야에 종사하는 인물을 대상으로 지난 4월 11일 기준 스피어 피싱 공격이 이루어진 정황이 포착됐다. 조사 결과, 한수원 해킹공격 조직과 연관이 있는 것으로 나타났다. 대북 관계자들의 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 측은 "지난 4월 3일 △최근 한반도 관련 주요국 동향, △3.17 미국의 편타곤 비밀 국가안보회의 내용으로 전파된 '스텔스 파워(Operation Stealth Power)' 작전의 APT 공격 연장 활동으로 드러났으며, 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일 조직"이라고 밝혔다.

공격자는 '한미정상회담 관련 정부 관계자 발언' 제목으로 수신자를 현혹하고 있으며, '한미정상회담 관련 정부 관계자 발언.hwp' 이름의 악성 파일이 첨부되어 있다. hwp 악성 문서 파일은 암호화된 상태로 유포되었으며 암호를 입력하지 않을 경우 EPS 취약점이 작동하지 않게 된다.

문서 파일 취약점이 작동하게 되면, 한국의 특정 명령제어(C2) 서버와 통신을 시도하고 'first.hta' 파일을 로드한다. 그리고 HTML 응용 프로그램 호스트 내부에 포함되어 있는 VBScript 코드가 실행된다.

악성 스크립트 코드는 파워쉘 기반 키로거를 실행해 감염된 컴퓨터의 정보를 은밀히 수집해 유출하게 만든다. 그리고 레지스트리에 등록해 C2 통신만으로 스파이 기능을 수행하게 된다. 그동안 공격에 사용된 서버들은 한국의 특정 서버의 아이피로 연결된다는 특징도 파악됐다.

악성 HWP 문서가 실행되면, '한미정상회담 관련 정부 관계자 발언(20190409)' 제목과 내용 등이 포함되어 있다. 그리고 해당 문서는 기존 '스텔스 파워' 작전과 동일한 'Tom' 계정으로 등록되어 있다.

▲ 악성 HWP 실행된 후 보여지는 화면과 'Tom' 계정
▲ 악성 HWP 실행된 후 보여지는 화면과 'Tom' 계정

한편 지난 4월 1일 에 만들어진 'TaskForceReport.doc' 이름의 악성 문서 파일이 해외에서도 관찰되었다.

ESRC는 "이 악성 DOC 문서 파일이 최근 한국 및 미국 등지에서 발생한 특정 침해사고와 연계되는 정황을 포착했고, 해당 위협 조직이 국내외 맞춤형 표적공격에 적극 가담하고 있을 것으로 보고 있다"며 "흥미로운 점은 이 APT 공격에 사용된 악성 코드 시리즈가 한국에서 발견된 '김수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침묵 작전' (2019-04-30)과 베이비 캠페인 시리즈인 거대 위협으로 다가온, 특명 '자이언트 베이비(Operation Giant Baby)' (2019-03-28) 등과 직ㆍ간접적으로 연결된다는 점이다"라고 설명했다.

지난 3월 말부터 4월 초까지 한국에서 발견된 악성 HWP 문서파일들은 모두 동일한 취약점 공격 기법이 활용되었으며 문서파일을 작성한 계정명도 'Tom'으로 일치하고 있다는 것이 확인됐다.

◇위장전술과 연막작전의 귀재, '캠페인 스모크 스크린' 배경

e-2.jpg
'TaskForceReport.doc' 악성 파일은 해외에서 먼저 보고 되었지만 문서 자체는 한국어 기반으로 제작 되었으며 유사한 변종 형태가 다수 존재한다.

악성 파일 제작자는 'windowsmb', 'JamFedura', 'Aji', 'DefaultAcount', 'yeri', 'Roberts Brad' 등의 독특한 윈도우즈 계정 등을 사용했고 비트코인 등을 거래하거나 사행성 도박게임, 암호화폐 관련 프로그램 개발에 참여하고 있는 것도 확인되었다.

또 일부 계정의 경우 한국의 카카오톡에도 등록되어 있으며 텔레그램, 스카이프 등의 메신저 서비스를 이용하고 있는 것으로 조사됐다.

ESRC에서는 종합적 판단을 통해 이번 APT 공격 배후에 '특정 정부의 후원을 받는 조직'이 있다고 믿고 있다. 이들은 한국어, 영어 등을 자유자재로 구사하며 외국인 가짜 프로필 사진으로 변장해 은밀히 활동하는 점을 착안해 '캠페인 스모크 스크린(Campaign Smoke Screen)'으로 명명했다.

이번에 2014년 한수원 해킹 배후로 분류된 해당 위협조직이 한국과 미국 등의 APT 공격에도 가담하며 한국에서는 HWP 문서파일 취약점을 이용하고 해외에서는 DOC 문서파일 취약점을 활용해 맞춤형 표적공격을 수행하는 것이 드러났다.

◇공격 배후 연결고리 조사

한편 ESRC는 위협 배후의 연결고리 중 일부를 공개했다.

우선 지난 2월 경 공격자가 사용한 'JamFedura' 계정에 주목했다. 이 계정은 트위터, 텔레그램, 크립토랜서 등 서로 다른 프로필 사진으로 유사한 계정이 등록된 것을 확인할 수 있다.

트위터 '@JFedura' 계정은 위치가 미국으로 설정되어 있으며 2017년 12월 가입했고, 자신의 소개란에 일부 영문 오타가 존재하지만 '암호화폐 개발자' 등이 언급되어 있다.

그리고 암호화폐 분야 개발자를 프리랜서 형태로 연결해 주는 크립토랜서의 'jamfedura' 계정은 올해 2월 가입했으며, 역시 자신을 '암호화폐 개발자'로 소개하고 있다. 위치는 중국으로 설정되어 있다.

트위터에 올려진 내용을 살펴보면, 주로 암호화폐 거래 관련 내용을 리트윗하거나 일부 계정으로 짧은 영어 트윗만 보낸 기록이 남아 있다.

한편, 한국의 프로그램 개발회사와 프리랜서 개발자를 이어주는 온라인 아웃소싱 플랫폼인 위시켓(Wishket) 사이트에서 트위터와 동일한 아이디와 프로필 사진으로 활동 중인 것으로 밝혀졌다.

더불어 2017년 8월에는 해외 비트코인 포럼에도 가입해 2018년 1월까지 활동한 이력도 포착되었다.

위시켓의 자기소개란에는 8년간의 개발 경험을 가지고 있으며, 가상(암호)화폐 개발에 적극 참여하고 있다는 내용과 함께 '게임 사이트 개발', '가상 화폐 채굴 프로그램 개발', '가상 화폐 거래 사이트' 등의 포트폴리오가 등록되어 있다.

비트코인 포럼에는 여러가지 활동내용이 포함되어 있는데, 그 중에 사용 중인 이메일 주소가 'jamshine1993@hotmail.com' 발견되었고, 이 계정은 'om*****@hotmail.com 으로 연결되어 있다.

그리고 비트코인 지갑 주소가 공개되어 있는데, 특별한 거래내역은 확인되지 않았다.

2018년 5월 공개된 시스코 탈로스 팀의 'NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea' 분석자료와 연결되는 변종이 이번 스모크 스크린 캠페인과 강력히 연결되고 있다.

탈로스팀은 'NavRAT' 유형을 'Group123'(aka Geumseong121, RedEyes) 조직 연계 가능성을 조심스럽게 의심한 바 있는데, ESRC는 해당 시리즈가 2014년 당시 한수원 공격에 사용된 HWP 취약점 쉘코드와 정확히 일치한다는 것을 검증했다.

ESRC는 "다양한 자체 분석 데이터와 분류 기준에 따라 스모크 스크린 APT 캠페인의 배후에 '금성121(Geumseong121)' 조직 보다 한수원을 위협했던 조직이 연계된 것으로 믿고 있다"며 "다만 두 조직간의 침해지표에 공통 고리가 존재했던 사례가 몇 차례 발견된 바 있어 상호 협력하거나 조직개편, 인력 체계 이동 가능성도 배제할 수는 없다"고 밝혔다.

또 "국가차원의 사이버위협 가담자들이 APT 공격 뿐만 아니라 실제 프로그램 주문개발 사이트를 통해 다양한 소프트웨어 하청을 받아 외화벌이에도 적극 참여하고 있다는 것을 확인했다"며 "특히 암호화폐 거래 및 마이닝 프로그램에 관심이 많았고 사행성 도박 게임이나 악성프로그램 개발 대행 사실도 목격됐다. 또한 이 과정에서 카카오톡, 스카이프, 텔레그램 등의 메신저 서비스를 통해 은밀하게 거래 사실을 숨겨왔던 것도 새롭게 드러났다"고 덧붙였다.

ESRC는 추가로 확인된 내용들은 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공할 예정이라고 한다.

[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★