김수키 조직은 특정 정부의 지원을 받고 있으며 최근까지 코니 조직과는 별다른 연결고리가 공식적으로 보고된 바 없었다.
그러나 ESRC는 코니 캠페인에 연루된 몇몇 위협 흔적들을 심층 분석하는 과정에서 단순 우연으로 보기 어려운 단서를 포착했고, 이를 통해 ‘코니’와 ‘김수키’ 조직이 특별한 관계일 가능성이 높다는 결론에 도달했다고 전했다.
ESRC 측은 향후 코니와 김수키 조직의 침해지표(IoC) 내용들을 ‘쓰렛 인사이드’ 서비스를 통해 공개할 예정이다.
◇코니(Konni) APT 조직의 위협 배경
먼저 코니 그룹은 약 2014년 전후, 주로 북한관련 내용의 미끼 파일로 스피어 피싱(Spear Phishing) 공격을 주로 해왔다.
그동안 코니는 국내외 보안 리포트를 통해 여러차례 위협 사례가 공개된 바 있고, 그때마다 국내외 전문가들 사이에 공격 주체에 대한 논쟁이 많았다. 일각에서는 코니 배후에 한국의 특정 기관이나 기업이 있다는 주장도 있었고, 다른 한편에선, 북한이나 중국을 포함한 제3국 가능성도 조심스럽게 제시된 바 있다. 코니 실체에 대한 여러 시각차와 배후 규명에 많은 한계가 있었던 것이다.
아울러 코니 시리즈는 'Nokki', 'DarkHotel', 'Syscon', 'Carrotbat' 등 다양한 연관성과 별칭을 가지고 있기도 하며, 중국의 오픈 소스인 Babyface RAT 종류와 러시아의 Amadey Botnet 인프라를 활용하는 등 갈수록 교란전술이 진화하고 있다.
현재까지 확실한 점은 코니 조직이 과거에는 북한과 관련된 정치 사회적인 위협활동에 집중했고, 지금은 암호화폐 관련 외화벌이도 함께 수행한다는 점이다. 이러한 활동 반경은 김수키 조직과도 분명 오버랩 된다는 점이다.
지난 2016년 당시 국제연합(UN)을 사칭해 수행된 코니 공격 사례를 살펴보자면, 악성 DOC 문서 파일이 첨부된 스피어 피싱 공격에 마치 북한과 관련된 내용을 담아 수신자로 하여금 위협에 노출되도록 현혹한 바 있다.
ESRC는 2019년 5월 23일 마지막으로 수정된 악성 DOC 문서가 최근 코니 시리즈와 오버랩된다는 것을 확인했다.
해당 문서가 실행되면 한국에서 꾸준히 목격되는 매크로 실행 유도 화면을 볼 수 있고 이때 [콘텐츠 사용] 버튼을 실행할 경우 악의적인 기능이 작동하게 된다.
◇코니(Konni) 공격의 TTPs에서 김수키(Kimsuky) 연관성 오버랩
ESRC는 최신 코니 시리즈의 실체를 조사하면서 독특한 부분을 목격했다. 그동안 베일에 싸여 있던 미스터리가 하나씩 풀릴 수 있는 판도라의 상자로 믿고 있다.
그것은 바로 코니 그룹의 TTPs(Tactics, Techniques and Procedures)와 속성(Attribution) 등에서 김수키 조직의 침해사고 벡터와 강력히 연결됐다는 점이다.
지난 1월 ‘통일부 기자단을 상대로 한 APT공격, '오퍼레이션 코브라 베놈(Operation Cobra Venom)' 주의’, ‘일요일 수행된 APT 변종 공격, 오퍼레이션 페이크 캡슐(Operation Fake Capsule) 주의’ 블로그 포스팅을 통해 김수키 조직의 공격 사례를 포스팅한 바 있다.
시계열 기반으로 보면, 'Cobra Venom' 시리즈에 사용된 악성코드가 더 빨리 제작된 것을 볼 수 있다. 물론 여기서 언급한 'Cobra Venom' 시리즈는 '김수키' 공격 조직을 의미한다.
압축 파일은 암호화 기능이 설정되어 있어, 암호를 알지 못하면 내부의 악성코드를 확인하기 어려운데, 확인결과 '코니’ 시리즈와 '김수키' 시리즈의 설정 암호는 정확히 일치하는 것도 확인되었다. 한편 암호화된 데이터를 복호화하는 디코딩 루팅도 100% 일치하는 것을 확인했다.
ESRC에서는 김수키 공격자가 사용한 여러 C2 서버에서 동일한 웹쉘을 사용한 것과 PHP 이메일 발송기를 동일하게 활용하는 점도 다수 포착했다.
공격자들은 최근까지도 'b374k' 웹쉘 코드를 활용해 C2 서버를 운영했으며, 로그인 암호도 'victory' 문자열을 사용한다.
특히, 'gyjmc[.]com' C2는 2019년 상반기에 한국의 언론사를 상대로 한 피싱 공격뿐만 아니라, 아주 오랜 기간 악용된 곳 중에 하나다.
'김수키' 공격자들은 C2 서버에 PHP 기반 이메일 발송 프로그램을 등록해 발신지 조작뿐만 아니라 악성 파일 유포 경유지로도 사용한다.
위협 배후들은 다양한 시나리오 기반의 스피어 피싱 공격을 수행하고 있으며, 반복 학습과 실전 경험을 통해 나날이 교묘하고 정교한 형태로 진화하고 있다.
그동안 '김수키' 조직이 한국내에서 수행한 APT 공격 데이터는 매우 다양하게 존재하고, 침해 사고의 연관성 분석에 있어서 중요한 단서와 증거로 활용되고 있다.
반면 '코니' 조직의 위협 지표들은 상대적으로 단편적이고 온전한 퍼즐 조각을 맞추는데 많은 노력이 요구되고 있다.
이들의 활동 반경을 추적하면서 '김수키' 조직이 사용한 아이피 주소와 연결되는 몇가지 흥미로운 단서들을 포착할 수 있었다고 한다.
한국에서 수행된 APT 공격 계정과 동일한 인물이 특정 비트코인 거래소에 로그인한 이력을 확보할 수 있었고, 당시 사용된 실제 공격자의 아이피 주소(202.168.155.156)가 ‘코니' 사례에서 목격된 것과 같다.
◇코니와 김수키가 공통으로 사용하는 커스텀 팀뷰어
한편 코니 공격자는 중국 오픈 소스 RAT인 'Babyface' 기반의 악성 파일을 통해 팀뷰어커스텀 악성 파일을 내려 보낸 사례가 있다.
이 내용은 지난 01월 '암호화폐 내용의 코니 APT 캠페인과 '오퍼레이션 헌터 아도니스' 리포팅을 통해 일부 공개된 바 있다.
아울러 작년 12월, 중국 텐센트 위협 인텔리전스 센터 공식 트위터에서는 코니(#Syscon, #Carrotbat) 태그와 함께 상세한 분석 보고서를 공개한 바 있고, 지난 5월에도 최신 분석 자료를 공개한 바 있다.
한편 ESRC는 2018년 11월 "트럼프 ‘북한 관련 가장 힘든 결정, 갈길 가겠다’.hwp" 이름의 HWP 한글 취약점을 이용한 악성 파일을 발견한 바 있다. 이 공격은 전형적인 '김수키' 시리즈의 쉘코드와 메타 데이터를 가지고 있다.
악성 HWP 문서 파일이 실행되면 내부에 포함되어 있는 쉘코드가 작동하면서 특정 C2로 접속하면서 다음과 같은 배포용 문서 내용을 보여주게 된다.
C2 서버는 한국 J대학교 총동문회 웹 사이트가 해킹되어 악용되었으며, 감염된 컴퓨터 명을 인자값으로 받아 추가 악성파일 다운로드에 활용됐다. 추가로 받아지는 파일은 동일한 C2에 마치 이미지 파일처럼 위장되어 숨겨져 있고, RC4 알고리즘으로 암호화되어 있다.
해당 파일의 복호화 키는 김수키 시리즈에서 지속적으로 발견된 바 있는 'www.GoldDragon.com'이며, 키는 여러차례 변경된 바 있다.
2013년 전후부터 동일한 공격 벡터가 현재까지도 사용되고 있으며, HWP 쉘코드와 내부 데이터들이 부분적으로 재활용되고 있다.
코니 캠페인의 최종 페이로드와 김수키의 암호화된 파일기능이 정확히 일치한다는 것이 확인된 것이다.
◇코니와 김수키 조직간 C2 유사성 비교
코니와 김수키 조직의 침해지표에서 발견된 C2 서버의 도메인과 아이피 주소 중 일부 흡사하거나 동일한 사례가 목격되었고 이러한 근거자료는 충분히 합리적으로 의심해 볼 수 있다.
ESRC 측은 “제한된 내용만으로 특정 APT 실체를 밝히는 것은 그리 쉬운 문제가 아니다. 수 많은 악성 파일 표본과 다양한 분석지표를 통해 보다 명확한 정답에 근접하고자 하는 끝없는 과정 중 하나일 뿐”이라며 “모든 디지털 증거 기반의 증거가 완벽할 수는 없지만, 그렇다고 단순 우연의 일치나 고도의 조작으로 보기에 어려울 정도로 다양한 형태에서 유사한 점을 찾아볼 수 있다”고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
