2019-09-18 16:16 (수)
라자루스 해킹그룹, 암호화폐 투자계약서로 위장해 공격 진행
상태바
라자루스 해킹그룹, 암호화폐 투자계약서로 위장해 공격 진행
  • 길민권 기자
  • 승인 2019.06.21 16:18
이 기사를 공유합니다

HWP 취약점 문서 파일을 활용해 공격을 수행한 정황 포착

▲ 악성 HWP 문서가 실행된 후 보여지는 화면
▲ 악성 HWP 문서가 실행된 후 보여지는 화면
6월 20일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되어 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 측에 따르면, '투자계약서_20190619.hwp' 파일명으로 발견된 악성 파일은 6월 19일 제작된 것으로 분석됐으며 취약점에 의해 설치되는 최종 악성 DLL 모듈은 2019년 6월 18일 21시 3분 경에 만들어졌다고 설명했다.

문서 파일 내부에는 'BIN0001.PS' 포스트 스크립트 파일이 포함되어 있다.

포스트 스크립트 코드에는 [D0 7F 2B 6A 91 60 5B A7 BA 8C 25 9D 1C DE 0A 9B] 16바이트 키로 XOR 인코딩이 되어 있습니다.

복호화 로직이 진행되면, 내부에 포함되어 있던 2차 포스트 스크립트 코드와 쉘코드가 나타나게 된다.

쉘코드에는 C2 주소가 은밀하게 숨겨져 있으며, 2018년 10월 ‘라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser)' 재등장 (2018-10-23)’ 포스팅과 동일하게 DD CC BB AA 코드를 기준으로 URL 주소가 선택된다.

'movie.png' 파일은 마치 이미지 파일로 위장되어 있지만, 실제로는 4바이트(0x31, 0x32, 0x33, 0x34)로 암호화된 32비트 악성 DLL 파일이며, 'movie.jpg'는 확장자가 다르고 암호화되지 않은 64비트 악성 DLL 파일이다.

각각의 파일은 'movie32.dll', 'movie64.dll' 익스포트 함수명을 가지고 있다.

HWP 악성 문서는 취약점이 작동하면 정상적인 문서 화면을 보여줘 사용자를 정상적인 문서 내용으로 현혹하게 만든다.

문서 내용에는 암호화폐(비트코인) 운영 및 투자사업과 관련된 계약서 내용을 담고 있다.

ESRC에서는 약 1년 전쯤 오퍼레이션 배틀 크루저와 스타 크루저 등을 통해 라자루스 조직이 사용한 공격 벡터와 속성을 소개한 바 있다.

악성 라이브러리는 기존과 유사한 파일명 패턴을 유지하면서 일부 변경되었다는 점을 알 수 있다.

ESRC에서는 이번 공격의 특징과 키워드를 조합해 '오퍼레이션 무비 코인(Operation Movie Coin)'으로 명명했다.

32비트와 64비트 모듈 모두 동일한 C2로 통신을 시도하며, 추가 명령을 대기하게 된다.

공격자는 워드 프레스 기반의 웹 사이트에 악성 코드를 삽입하는 특징을 보였고 더불어 서버에는 공격자가 사용한 것으로 보이는 웹쉘 코드가 발견되기도 했다.

이 웹쉘 코드는 러시아에서 제작된 WSO 2.5 버전이다. WSO라는 이름은 'web shell by oRb' 표현의 약어로 사용된다.

2018년에 식별된 배틀 크루저 포스트 스크립트와 2019년 보고된 코인 무비 작전의 포스트 스크립트를 비교해 보면 동일한 형태를 띄고 있는 것을 알 수 있다.

최종 바이너리 코드는 스타일이 일부 변경 되었지만, 주요 로직 부분은 비슷한 흐름을 가지고 있다.

라자루스 조직이 김수키나 금성121 조직에 비해 한동안 소강상태였는데, 최근들어 다시 활동하는 모습이 포착되고 있다.

특히 암호화폐 관련 내용의 미끼를 활용하는 등 금전적인 수익 목적의 해킹을 본격화할 가능성이 높아 보여 각별한 주의가 필요하다.

ESRC는 이와 관련된 유사 보안 위협 모니터링을 강화하고 있으며, 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공할 예정이다.

★정보보안 대표 미디어 데일리시큐!★