2020-01-27 09:15 (월)
해킹그룹 ‘코니’, 병원관련 소송 답변 문서로 위장해 APT 공격 수행
상태바
해킹그룹 ‘코니’, 병원관련 소송 답변 문서로 위장해 APT 공격 수행
  • 길민권 기자
  • 승인 2019.12.13 16:24
이 기사를 공유합니다

스피어 피싱으로 공격...감염시 PC 내부정보, 공격자 서버로 전송돼
악성 문서 실행 후 보여지는 문서 내용
악성 문서 실행 후 보여지는 문서 내용

12월 12일, 해킹그룹 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 포착됐다. 이번 공격은 광주 성형외과 운영관계자 간 법적 소송 문건을 담고 있는 악성 한글문서가 공격에 활용된 것으로 조사됐다.

이스트시큐리티 ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱'을 통해 악성 문서가 전달되었을 것으로 추정하고 있다.

이번 공격에 사용된 악성 파일명에 실제 성형외과의 대표명이 포함되어 있고 HWP 문서 파일 내부에는 악성 포스트 스크립트 코드가 포함되어 있다. HWP 악성 문서 파일이 실행되면 정상적인 소송관련 답변서 내용이 보인다.

디코딩 과정을 거치면 쉘코드가 포함된 2차 포스트 스크립트가 나타난다. 이 쉘코드를 통해 명령제어 서버로 통신을 시도한다. 쉘코드가 작동하면 C2 서버로 통신을 시도하며 'vbs.txt' 파일을 로드한다.

C2 주소와 통신이 성공되면, 'vbs.txt' 파일이 존재하는 경로로 접근을 수행한다. 'vbs.txt' 파일은 Base64 형식으로 인코딩된 데이터를 포함하고 있다. 그리고 C2에 추가로 등록되어 있는 'no1.txt' 파일의 명령을 수행한다.

각각의 스크립트 명령에 의해 감염된 컴퓨터에 설치되어 있는 각종 프로그램 및 파일 목록, 시스템 정보, 프로세스 리스트, 윈도우 컴퓨터명 등을 C2 서버로 유출 시도한다.

ESRC는 이번 위협에서 사용된 C2 도메인이 지난 9월 생성되었고, 등록자 정보에서 흥미로운 점을 확인했다. 악성 도메인은 대한민국의 광주 지역에서 등록되었고, 등록자명은 'JungSuk Park(박정석)'이다.

또 도메인 등록용 이메일 주소는 기존 코니 캠페인과 유사한 계정이 사용되었다.

ESRC는 도메인 등록에 사용된 휴대폰 번호가 '카카오톡'에 등록되어 있는 것을 확인했는데, 동일한 인물의 프로필 사진이 다수 등록되어 있었다. 프로필 사진 중에는 군복을 입은 사진이 있다. 한국인은 아니며 공격자가 악성 도메인 등록시 스마트폰 번호를 무단 도용한 것인지는 확인되지 않았다.

그리고 일부 사진은 필리핀 특정 섬 이름이 포함되어 있기도 하며 한국에서 찍은 것으로 추정되는 화면과 동영상도 존재한다.

ESRC에서는 이와 관련된 위협 인텔리전스 분석을 진행 중이며, 추가적인 침해지표 내용은 '쓰렛 인사이드' 서비스를 통해 별도로 제공할 예정이다.

★정보보안 대표 미디어 데일리시큐!★