2024-03-19 11:40 (화)
‘금성121’ APT 조직, 스테가노그래피 기법 활용…PC와 스마트폰 동시 공격 수행
상태바
‘금성121’ APT 조직, 스테가노그래피 기법 활용…PC와 스마트폰 동시 공격 수행
  • 길민권 기자
  • 승인 2019.08.05 15:42
이 기사를 공유합니다

한국 탈북민 지원 관련 대상자 겨냥 복합적 APT공격 수행 정황 포착

정부지원을 받고 있는 '금성121(Geumseong121)' 해킹그룹이 한국의 탈북민 지원 관련 대상자를 겨냥해 복합적 APT공격을 수행하는 정황이 포착됐다. 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(이하 ESRC) 측은, “이번 공격의 특징에 대해 윈도우 운영체제 및 안드로이드 스마트폰을 동시에 노렸다는 점이며, 위협배후에 '금성121(Geumseong121)' 해킹그룹이 조직적으로 가담 중임을 확신하고 있다”고 설명했다.

특히 공격자는 JPG 이미지 파일로 위장해 악성코드를 은밀하게 삽입하는 이른바 '스테가노그래피(Steganography)' 기법을 APT 공격에 활용하고 있는 것으로 분석됐다.

◇금성121, 스피어 피싱(Spear Phishing) 공격 기법 분석

공격자는 악성코드를 타깃에게 전달하기 위해 스피어 피싱 공격벡터를 활용하지만, 기존처럼 이메일에 악성파일을 첨부하거나 본문에 직접적인 악성링크를 포함하진 않았다. 보안탐지를 최대한 우회하기 위해서 텍스트 파일을 첨부했고, 그곳에 다운로드할 수 있는 악성 단축URL을 포함하는 치밀함을 보였다.

물론 이러한 방식은 수신자로 하여금 번거로운 절차로 다운로드를 하지 않을 수도 있지만, 업무적으로 높은 관심분야라면 수동접근을 통해 파일을 로드할 가능성도 배제하긴 어렵다.

더불어 1차 이메일부터 바로 공격을 수행하지 않고 투트랙으로 공격자가 회신을 받은 다음 2차 이메일에서 공격을 본격화하는 방법으로 치밀하게 진행됐다.

두번째 전송된 이메일에는 텍스트 파일과 암호화된 이미지 파일 2개(JPGE)가 첨부되어 있다. 텍스트 파일에는 윈도우즈와 스마트폰을 이용해 단축URL에 접근하도록 유도하고 있다.

공격 당시 단축URL 주소로 접근하면 드롭박스 경로를 통해 암호화 압축된 EXE 파일과 APK 앱이 다운로드되며, 각각의 파일 모두 악의적인 기능을 수행한다. 악성코드는 PE와 APK 형식 모두 해당되며, 사용자가 접속하는 환경에 맞춰 적합한 악성코드를 내려받게 된다.

◇윈도우 기반 컴퓨터 이용자 겨냥한 공격

스테가노그래피 기법으로 숨겨져 있는 악성코드 화면. 이스트시큐리티 제공.
스테가노그래피 기법으로 숨겨져 있는 악성코드 화면. 이스트시큐리티 제공.

먼저, 윈도우 운영체제용 'JPGE_Viewer.exe' 파일을 실행하면 마치 겉으로 보기에는 정상적인 암호화된 JPG 이미지 뷰어처럼 보인다.

암호화되지 않은 정상적인 JPG 포맷을 오픈하면 'Invalid Foramt.'이라며 영문식 오타(Format)가 포함된 메시지 창이 출력된다. 다만 이 뷰어 프로그램은 단독으로 악의적인 기능을 수행하지는 않는다.

이메일에 첨부되어 있던 암호화된 이미지 파일을 로딩하면 메모리 맵핑 과정을 통해 내부에 포함되어 있는 쉘코드 디코딩이 은밀히 진행된다. 디코딩이 이뤄진 데이터는 GUI 종료 시점에 별도의 스레드를 호출해 악성코드를 로드한다.

공격자는 EXE 파일 자체에 악성코드를 포함하지 않고 별도로 분리된 이미지 파일에 쉘코드를 넣어 호출하는 방식을 사용한다. 이른바 ‘스테가노그래피’ 기법을 사용한 것이다.

또 타깃이 의심하지 않도록 실제 정상적인 이미지 화면을 보여주고 프로그램이 종료될 때 악성코드를 로드한다. 따라서 악성코드를 식별하는데 어려움이 있을 수 있다. 복호화된 이미지 파일의 디지털 카메라 정보를 확인해 보면, GT-N7100 갤럭시노트2 모델명을 확인할 수 있다. 모델번호는 해외판으로 추정된다.

해당 프로그램을 종료하는 경우 악성 쉘코드가 작동하며 실제 프로세스는 종료되지 않고 백그라운드에서 실행을 유지하게 된다. 그리고 이미지 내부에 포함되어 있던 악성 바이너리가 작동한다.

악성 바이너리는 드롭박스 토큰을 통해 C2 명령을 수행하며, 감염된 컴퓨터의 정보를 유출한다. 이 공격에 쓰인 코드는 기존 '금성121' 조직이 꾸준히 사용하던 방식과 동일하다.

이번 공격에 사용되었던 악성파일은 지난 2018년 11월 16일 ESRC가 공개한 '금성121 정부기반 APT그룹, '코리안 스워드(Operation Korean Sword) 작전' 수행 중' 코드와 상당부분 동일한 것으로 조사됐다.

◇안드로이드 기반 스마트폰 이용자 겨냥 공격

또 공격자는 APK 악성앱을 통해서도 퓨전 공격을 수행했다. 마치 암호화된 이미지 복호화 도구처럼 위장했다. 다운로드된 악성앱도 윈도우용과 마찬가지로 이미지뷰어로 위장하고 있으며 실제 설치 시 기본적인 이미지뷰어 기능을 제공한다.

이렇게 이미지 뷰어 기능을 악성코드가 실제로 제공함으로써 피해자로 하여금 자신이 악성앱을 설치했다는 사실을 인지하기 어렵게 만드는 것이다. 이미지 뷰어 기능을 통해 공격자가 함께 제공한 암호화된 이미지를 복호화해서 볼 수 있다.

일단 사용자가 악성앱을 설치하게 되면 악성앱은 피해자의 휴대폰에 설치된 채로 백그라운드에서 동작하며 피해자의 통화를 녹취한다. 이렇게 녹취한 통화 내용은 공격자가 사전에 설정해둔 C2 서버로 전송되며, 또한 공격자가 C2 서버를 통해 추가 악성앱을 다운로드 및 실행할 수 있게 만든다.

이번에 발견된 악성앱을 상세하게 분석한 결과, 금성121 조직에서 수행한 작전명 'Blackbird'에서 활용한 악성앱들과 일부 유사한 코드가 발견되었다.

이스트시큐리티 ESRC는 “정부차원의 후원을 받는 '금성121' APT 조직이 스테가노그래피 기법뿐만 아니라, 안드로이드 기반 스마트폰 이용자의 정보까지 노리고 있다는 점에 각별한 주의가 필요하다. 더불어 스피어 피싱 공격에서도 투트랙 방식을 활용해 공격 대상자로 하여금 의심을 최소화하고 신뢰기반 맞춤형 표적 공격을 수행하고 있다”며 “안드로이드 스마트폰 이용자는 APK 앱을 설치할 때 각별히 주의할 필요가 있다. 가급적 공식 마켓에서 검증된 앱을 설치 사용해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★