2019년 북한 신년사 평가로 위장한 '오퍼레이션 엔케이 뉴이어(Operation NK New Year)' APT 사이버 위협 등장

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.

2019년 01월 03일 '190101-신년사_평가.hwp' 문서내용을 보여주는 APT 공격이 발견되었습니다. 이 공격조직이 사용한 기법을 분석할 결과 2014년 한수원 공격에 사용된 코드와 유사한 것으로 확인되었습니다. 

해당 위협조직은 얼마전 "작전명 블랙 리무진(Operation Black Limousine)"으로 대남 사이버공격을 수행한 바 있으며, 2018년 12월 말에는 탈북민 관련 사항으로 문서파일 취약점 기반 공격을 수행하기도 했습니다.

이번 악성코드가 사용한 문서의 타이틀에는 '2019년 북한 신년사 평가' 문구를 가지고 있으며, 마치 정부기관 문건처럼 보이는 내용도 존재합니다.

ESRC에서는 이번 2019년 최신 APT공격을 "작전명 엔케이 뉴이어(Operation NK New Year)"로 명명하고, "쓰렛 인사이드(Threat Inside)" 서비스를 통해 보다 다양한 침해지표(IoC) 등을 별도 제공할 예정입니다.

[그림 1] 2019년 북한 신년사 평가 내용을 담고 있는 화면

메인 숙주 파일은 EXE 형태로 제작되었고, 'SRV' 리소스에 3개의 데이터를 포함하고 있습니다.

- 129 (한국어) : 64비트 DLL 악성 모듈

- 130 (한국어) : 32비트 DLL 악성 모듈

- 131 (한국어) : 정상 HWP 문서 파일 (190101-신년사_평가.hwp)

각각의 리소스에는 32비트, 64비트 형태의 악성코드가 포함되어 있으며, 'HncChecker.dll' 파일명으로 위장하여 작동합니다. 그리고 악성파일이 정상적인 문서처럼 보이도록 하기 위해서 '190101-신년사_평가.hwp' 파일을 로드하게 됩니다.

[그림 2] 악성파일 내부에 포함되어 있는 리소스 코드 화면

윈도우즈 운영체제 플랫폼에 따라 각 dll 모듈이 다르게 생성되어 작동되고, 감염된 컴퓨터의 키보드 입력내용을 가로채기 하여 은밀히 저장하는 키로깅(Keylogging) 기능이 작동하게 됩니다.

[그림 3] 악성코드의 키로깅 기능 화면

악성코드는 "C:\ProgramData\Hnc\" 경로에 생성되어 마치, 정상적인 문서 소프트웨어 모듈처럼 잠복하며, 'serial.info', 'status.dat' 파일 등을 생성해 악성코드 감염 및 작동 고유이력을 로그를 생성하며, 키로깅 내용은 'userdata.cab' 파일로 만듭니다.

[그림 4] 악성코드 감염 상태 로그 기록

감염된 컴퓨터에서 수집된 정보들은 한국의 특정 포털 이메일 서비스를 경유해 해커에게 전송이 시도됩니다.

[그림 5] 한국 포털 웹 메일 서비스를 이용해 명령을 주고 받는 코드

ESRC에서 파악한 바에 의하면 해당 APT 위협 조직은 현재 한국을 상대로 지속적인 공격을 수행하고 있으며, 매우 활발한 상황입니다.

특히, 이번 공격의 TTPs 는 최근까지 한국의 언론보도 등을 통해 널리 알려진 다양한 외교, 안보, 통일 분야의 사이버 침해사건과 연결되고 있다는 점에 주목됩니다. 

또한, 이번 공격 사례를 역조사하다보면 2014년 한수원 공격에 사용된 사례와 연결이 되고 있습니다. 자세한 분석 내용은 추후 쓰렛 인사이드(Threat Inside) 서비스를 통해 제공할 예정입니다.

[그림 6] 과거 유사 악성코드 비교 화면