2019-10-19 13:23 (토)
‘김수키’ 해킹 조직와 연관된 ‘코니’ APT 조직, HWP 취약점 이용 사이버공격 수행중
상태바
‘김수키’ 해킹 조직와 연관된 ‘코니’ APT 조직, HWP 취약점 이용 사이버공격 수행중
  • 길민권 기자
  • 승인 2019.10.02 18:19
이 기사를 공유합니다

“한국의 암호화폐, 대북 분야 관계자 겨냥한 지속적인 표적공격 진행…주의”
문서 파일이 실행된 화면
문서 파일이 실행된 화면

'코니(Konni)' 조직으로 명명된 APT 공격그룹이 최근 HWP 한글문서 취약점을 적극적으로 활용해 공격을 전개하고 있는 정황이 포착됐다. 암호화폐 거래 및 대북 관계자들은 각별히 주의해야 한다.

한편 특정 정부 후원을 받는 것으로 추정되는 '코니(Konni)' 그룹은 '김수키(Kimsuky)' 조직과의 연관성이 높으며 최근 암호화폐 거래관련 미끼 파일을 이용하고 있다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 두 조직간의 연결고리가 이어지고 있다는 점에 주목하고 있으며, 이번 APT 작전을 '오퍼레이션 코인 플랜(Operation Coin Plan)'으로 명명하고 지속적인 분석을 진행 중이라고 밝혔다.

이번에 새롭게 발견된 악성 문서파일은 10월 1일 제작되었고, '마켓팅플랜.hwp' 이름으로 발견되었다. 악성문서가 실행되면 특정 화면이 보여지고, 암호화폐 채굴(마이닝) 관련 내용을 담고 있다. 악성 HWP 문서파일 내부에는 'BIN0001.PS' 포스트 스크립트를 포함하고 있다.

포스트 스크립트 내부에는 악성 스크립트 명령과 쉘코드가 숨겨져 있고, 고스트 스크립트 모듈의 취약점이 작동할 경우 공격자가 지정한 명령제어 서버와 통신을 수행하게 된다.

1차 포스트 스크립트는 16바이트 XOR 키를 통해 디코딩 과정을 진행한다. 첫 번째 포스트 스크립트가 디코딩 과정을 수행하면, 2차 포스트 스크립트 코드와 쉘코드 명령이 나타난다.

쉘코드가 실행되면 C2 주소로 통신을 진행하고 'vbs.txt' 파일을 로딩하게 된다. 'vbs.txt' 파일은 Base64 코드로 작성된 인코딩 데이터를 가지고 있다. Base64 코드가 디코딩되면, Cab 압축포맷의 또 다른 파일이 만들어지는데, 이 파일은 'no1.txt' 배치 파일 명령에 의해서 'setup.cab' 파일명으로 생성되고 압축이 해제되어 내부에 포함된 추가 파일의 명령을 수행하게 된다. 'setup.cab' 압축 파일 내부에는 총 5개의 파일이 포함되어 있다.

각각의 파일은 감염된 컴퓨터의 각종 시스템 정보를 수집해서 C2 서버로 전송하는 역할을 한다. 특히, 배치파일 명령에 'pakistan.txt' 파키스탄 파일명을 사용하는 특징이 있다.

지난 7월 발견된 '0711_8.doc' 파일의 경우는 MS Word DOC 문서파일의 매크로 기능을 사용해 공격했다. 매크로 코드를 통해 C2 주소로 통신을 수행하게 된다.

'no1.txt' 파일의 명령에 의해 'no2.txt' 파일을 다운로드하고, 순차적으로 'no3.txt', 'no4.txt', 'no5.txt' 파일 등이 작동하게 된다. 이때에도 이번과 동일하게 'pakistan.txt' 파일명이 사용된다. 이외에도 9월 경에 유포된 다수의 HWP 변종이 유사한 배치파일 명령을 그대로 사용하고 있다.

ESRC는 “코니 APT 조직이 한국의 암호화폐, 대북 분야 관계자를 겨냥한 지속적인 표적공격을 계속 해오고 있어 보안 모니터링을 강화하고 있다”며 “특히 이들 조직이 PC용 컴퓨터 기반의 위협뿐만 아니라, 안드로이드 스마트폰 단말을 대상으로 한 모바일 위협에도 가담하고 있다는 점에 우려하고 있다”고 전했다.

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★