2019-10-14 09:56 (월)
해킹조직 라자루스, 비트코인 탈취 APT 공격 계속…암호화폐 거래소 회원 집중 공격
상태바
해킹조직 라자루스, 비트코인 탈취 APT 공격 계속…암호화폐 거래소 회원 집중 공격
  • 길민권 기자
  • 승인 2019.09.03 16:34
이 기사를 공유합니다

한국 암호화폐 거래소 회원 겨냥해 집중적으로 공격 수행하고 있어

지난달 23일 경, 한국 특정 암호화폐 거래소 가입회원 일부에게 스피어 피싱 공격이 수행되었다. 가상화폐를 타깃으로 한 공격은 그동안 지속적으로 이어오고 있다.

이스트시큐리티 시큐리티대응센터 ESRC는 이와 관련된 전반적인 자료를 수집 분석하고, 위협 배후에 특정 정부가 후원하는 해킹그룹인 '라자루스(Lazarus)' 조직이 가담하고 있는 것으로 파악했다.

이번 공격 역시 지난 8월 20일 공개했던 ‘라자루스(Lazarus), 소명자료요구서로 위장한 '무비 코인' 캠페인 지속’ 공격벡터의 연장선이며, 지속적인 공격이 수행되고 있다는 것을 알 수 있다.

'무비 코인' 캠페인은 한국의 비트코인 거래자들을 집중 겨냥하고 있으며, HWP 취약점을 주무기로 쓰고 있다.

실제 공격에 사용된 이메일 화면. 이스트시큐리티 제공.
실제 공격에 사용된 이메일 화면. 이스트시큐리티 제공.

공격에 사용된 이메일 화면을 살펴보면, '100년 이후 100년의 꿈 인삿말.hwp' 파일을 첨부했으며, 본문에는 간단히 '인삿말 보내드립니다.'라는 표현만 존재한다.

과거 사례를 비추어보면, 라자루스 위협 배후는 수신자와 전혀 관련없는 주제와 내용으로 이용자를 현혹하고 있는 특징이 있고 불규칙 사회공학적 기법의 하나로 볼 수 있다.

이메일에 첨부되어 있던 '100년 이후 100년의 꿈 인삿말.hwp' 악성 문서 파일은 공격이 수행되기 3일 전인 20일에 제작이 된 것으로 분석되었다.

해당 악성 문서파일은 기존 '무비 코인' 캠페인과 동일하게 문서를 마지막으로 수정한 계정명이 'USER'로 동일하다. 그리고 'BinData' 스트림에 'BIN0001.PS' 악성 포스트스크립트 코드가 포함되어 있다. 포스트스크립트 하단에는 16바이트로 구성된 디코딩 키가 포함되어 있으며, XOR 연산을 수행한다.

HWP 문서에 포함되어 있는 악성 포스트스크립트 화면
HWP 문서에 포함되어 있는 악성 포스트스크립트 화면

1차 디코딩 과정을 거치면, 내부에 포함되어 있는 2차 포스트스크립트와 쉘코드 루틴이 나타난다. 쉘코드는 특정 로직을 통해 숨겨져 있던 명령제어 서버로 접속을 수행하고, 32비트/64비트 구분에 따라 추가 파일을 다운로드하고 로딩을 시도한다.

'fly.avi', 'fly312.avi' 2개의 페이로드는 확장자가 마치 동영상(AVI)처럼 보이지만, 실제로는 각각 32비트, 64비트 형식의 악성 DLL 파일이다. 페이로드 파일은 원격지 C2 주소로 접속을 시도해, 추가 명령을 대기하게 됩니다. 일종의 봇 기능을 수행하는 백도어 역할을 한다. C2와 명령을 주고 받을 때 통신 데이터를 숨기기 위해 RC4 암호화 알고리즘을 사용한다.

더불어 '무비 코인' 캠페인은 거의 동일한 쉘코드가 지속적으로 사용하고 있다. 지난 7월 공격에서 사용된 파일들도 동일한 쉘코드가 사용된 것으로 조사됐다.

이스트시큐리티 측은 “라자루스로 알려진 APT 위협그룹의 활동이 6월부터 수개월간 지속적으로 포착되고 있다. 특히 한국의 암호화폐 거래소 회원들을 겨냥해 집중적으로 공격을 수행하고 있다”며 “주로 HWP 문서 파일 취약점을 활용하고 있어, 문서 소프트웨어는 반드시 최신 버전으로 업데이트해 사용해야 한다”고 당부했다.

[PASCON 2019 개최]
하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
7시간 보안교육 이수 및 2020년 대비 보안실무 교육
-무료사전등록: https://www.dailysecu.com/form/register.html?form_id=1548736920

★정보보안 대표 미디어 데일리시큐!★