포스팅 내용

악성코드 분석 리포트

안보·외교·통일 관련 분야를 겨냥한 APT 공격, '작전명 블랙 리무진' 주의


안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.


특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 안보·외교·통일 관련 분야의 정보를 노린 조직은 2014년 한국의 특정 전력회사에 대한 사이버 공격으로 널리 알려져 있습니다.


ESRC에서는 해당 위협그룹이 최근 다양한 APT 공격을 수행하고 있는 정황을 포착해, 지속적인 관찰을 수행하고 있습니다. 


지난 2월 '오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형'으로 공개된 내용과 5월 "판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Operation Onezero)' APT 공격 분석" 내용으로 일부 공개된 바 있습니다.


그리고 이번 최신 APT공격을 "작전명 블랙 리무진(Operation Black Limousine)"으로 명명하고, "쓰렛 인사이드(Threat Inside)" 서비스를 통해 보다 다양한 침해지표(IoC) 등을 별도 제공할 예정입니다.


이 조직이 사용한 대표적인 공격벡터를 시계열로 분석해 보면 다음과 같습니다.



[그림 1] 문서파일 취약점을 이용한 APT 공격 시계열 흐름 화면



다양한 형태의 악성 문서파일이 지속적으로 발견이 되었고, 모두 동일한 쉘코드(Shellcode) 취약점을 사용하고 있는 특징이 존재합니다.


특히, 대부분의 문서 파일이 한국의 정치, 사회와 관련된 내용을 담고 있는 공통점이 있습니다. 그런 가운데 지난 10월 22일 제작된 문서파일은 특정 대학교의 '개인정보 제공 및 활용 동의서' 제목을 담고 있고, 국가 연구 개발 사업 관련 규정 등의 표현도 존재합니다.



[그림 2] '개인정보활용동의서(공통)' 악성 문서파일의 스트림 및 메타 데이터



이 문서파일에는 'BIN0001.eps' 악성 포스트 스크립트(Post Script)를 포함하고 있습니다. 이 스크립트 내부에는 악의적인 쉘코드(Shellcode)가 포함되어 있으며, 해당 코드를 통해 또 다른 명령제어(C2) 서버로 접속을 시도하게 됩니다.



[그림 3] 'BIN0001.eps' 스크립트 내부 화면



내부에 포함된 쉘코드는 암호화가 되어 있으며, 복호화 과정을 거쳐 한국의 특정 웹 사이트(rentcartoday.com)와 통신을 시도하게 됩니다.


만약 해당 명령제어(C2)서버와 통신을 성공하게 되면, 추가적인 악성코드(Payload)를 다운로드하고, 실행하게 됩니다. 추가 악성코드에 노출될 경우 컴퓨터 자료 유출 및 원격제어 등의 피해로 이어질 수 있습니다.



[그림 4] 쉘코드 내부에 포함되어 있는 명령제어 URL 도메인 사이트



ESRC는 공격자가 스피어 피싱을 시도할 때 악성 문서파일 뿐만 아니라 정상적인 PDF 문서파일도 함께 포함해 이용자를 현혹하는 전술을 파악했으며, 악성 HWP 문서 파일은 다음과 같은 실제 관련내용의 화면을 보여주어 이용자로 하여금 정상적인 문서로 오해하도록 유도합니다.



[그림 5] 악성 문서파일이 실행된 후 보여지는 화면



현재 HWP 문서 파일에 포함된 포스트 스크립트(EPS) 취약점은 한컴 오피스 제품을 최신 버전으로 업데이트할 경우 고스트 스크립트 엔진 모듈이 제거되어 더 이상 위협에 노출되지 않습니다.


따라서 프로그램 이용자분들은 반드시 최신 버전으로 업데이트하여 위협요소를 반드시 사전에 제거해 주시길 바랍니다.




티스토리 방명록 작성
name password homepage