김수키, 통일부 기자단을 상대로 한 APT공격, '오퍼레이션 코브라 베놈(Operation Cobra Venom)' 주의

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.

2019년 01월 07일 새벽 1시 경 통일부 등을 출입하는 언론사 기자들의 이메일 대상으로 대규모 스피어 피싱(Spear Phishing) 공격이 수행됐습니다. 

특히, 'Windows 스크립트 파일(.wsf)'을 이용한 공격이 주목되며, 위협그룹은 자신들의 공격 흔적을 남기지 않기 위해 나름대로 신경을 쓴 것으로 추정됩니다.

더불어 공격조직의 과거 유사한 위협사례를 비교해 본 결과, 특정 정부가 지원하는 해킹조직으로 분류된 상태입니다. 

▶ 오퍼레이션 코브라 베놈 등장 배경

ESRC에서는 이번 공격이 2018년 11월 '작전명 블랙 리무진'과 2018년 05월 '작전명 원제로'와 이어진다는 것을 확인했으며, 이번 공격에 사용된 키워드 등을 활용해 '작전명 코브라 베놈(Operation Cobra Venom)'으로 신규 명명했습니다.

해당 이메일 수신처에는 약 77명의 언론사 소속 기자분들이 포함되어 있으며,  다음과 같은 형태의 이메일 내용을 가지고 있습니다.

제목 :

RE: TF 참고자료

내용 :

TF 참고되시길~~

*언론사별 브랜드 관련해서 관리 잘해주시고~ (비번은 "tf")

첨부 :

TF 참고.zip

[그림 1] 실제 공격에 사용된 해킹 이메일 화면

이메일 첨부파일에는 'TF 참고.zip' 파일이 존재하는데, 압축파일에는 암호가 걸려 있습니다. 공격자는 이메일 본문에 비밀번호의 약어인 '비번'의 표현을 쓰고 있습니다.

공격자가 구글 번역기를 이용하지 않았고, 실제 한글을 사용할 수 있는 것을 알 수 있습니다. 

압축파일 내부에는 3개의 파일이 포함되어 있는데, 2개의 정상적인 PDF 문서와 HWP 파일로 위장한 1개의 악성 EXE 파일이 존재합니다.

'미디어 권력이동⑥-넷플렉스, 유튜브.hwp' 파일은 마치 아이콘과 확장자가 HWP 문서처럼 보이지만, 실제로는 다수의 공백을 포함한 2중 확장자 기반 EXE 유형의 악성 파일입니다.

- 넷플릭스-미디어-구조와-이용자-경험.pdf

- 미디어 권력이동⑥-넷플렉스, 유튜브.hwp <다수의 공백>  .exe

- 언론사 별도 브랜드.pdf

[그림 2] 압축 파일 내부에 존재하는 추가 파일 화면

'미디어 권력이동⑥-넷플렉스, 유튜브.hwp <다수의 공백>  .exe' 파일은 SFX 압축기반으로 만들어진 일종의 실행가능형 압축파일로, 내부에 또 다시 3개의 파일이 포함되어 있습니다.

[그림 3] SFX (Self extracting archive) 압축 형태로 만들어진 악성코드 화면

마치 HWP 문서파일 처럼 위장한 EXE 파일은 내부에 또 다른 3개의 파일을 포함하고 있는데, 2019년 01월 07일 새벽 01시 01분에 포함된 것을 확인할 수 있습니다.

실제 공격 이메일이 07일 새벽 01시 21분 경 발송된 상태이기 때문에 타임라인 상 시간대가 정확히 일치하는 것을 확인할 수 있습니다.

내부에 포함되어 있는 3개의 파일 중에 '1.hwp' 파일은 EXE가 실행될 때 보여주는 정상적인 HWP 문서파일이며, 나머지 '2.wsf', '3.wsf' 파일 2개가 악성 스크립트 파일의 기능을 수행하게 됩니다.

다음은 악성코드가 작동시 보여지는 정상적인 문서 파일입니다.

[그림 4] 악성코드 실행시 보여지는 정상적인 '1.hwp' 문서 파일 내용

먼저 '2.wsf' 파일은 Windows 스크립트 파일(.wsf) 확장자를 가지고 있으며, 내부에 악성 명령을 통해 특정 구글 드라이브로 연결을 시도합니다.

[그림 5] '2.wsf' 파일 스크립트 코드 화면

drive.google.com/uc?export=download&id=1MVR58_5SlXgDZ5arasQk9AnmihAb3KJ

ㄴ my-homework.890m.com/bbs/data

 ㄴ my-homework.890m.com/bbs/data/brave.ct

   ㄴmy-homework.890m.com/bbs/data/board.php?v=a (파일 서버 접속 완료)

   ㄴmy-homework.890m.com/bbs/data/board.php?v=b (시스템 폴더 설정 완료)

   ㄴmy-homework.890m.com/bbs/data/board.php?v=c (파일 brave.ct 다운로드 완료)

   ㄴmy-homework.890m.com/bbs/data/board.php?v=e (파일 디코드 완료)

   ㄴmy-homework.890m.com/bbs/data/board.php?v=f (파일 실행 완료)

악성 스크립트가 작동하면 Base64 코드로 인코딩되어 있는 'brave.rar' 파일이 다운로드되고, 다시 복호화 과정을 거쳐 'ProgramData' 경로에 'Freedom.dll' 악성파일(32비트)이 생성됩니다.

만약 시스템이 64비트 플랫폼이면, 'Freedom.dll' 파일에 의해 'AhnLab.ini' 명령을 로딩하고, 암호화된 'AhnLab.cab' 파일이 추가 다운로드되고 'AhnLabMon.dll' 이름의 악성파일(64비트)로 생성됩니다.

이는 마치 한국의 보안솔루션 모듈처럼 파일명을 위장하고 있습니다.

[그림 6] 구글 드라이브를 통해 64비트용 추가 설치

최종 Payload 중에 하나인 'Freedom.dll' 악성파일의 경우 제작날짜가 한국시간(KST) 기준으로 '2019-01-07 16:28:29' 인것으로 보아, 의도적으로 시간을 조작했음을 알 수 있습니다.

공격자는 구글 드라이브를 통해 추가적인 파일을 받아오는데, 'bbs.txt', 'gnu.txt', 'dll.txt' 등이 존재합니다.

해당 파일에는 명령제어(C2) 서버의 호스트 도메인이 포함되어 있습니다.

[그림 7] 구글 드라이브를 통해 생성된 텍스트 파일 화면

- my-homework.890m.com

이 도메인을 통해 공격 명령은 다음과 같이 작동하게 되며, 윈도우즈 운영체제의 빌드 버전과 비트수를 표기하게 됩니다. 그리고 이후에 감염컴퓨터 신호에 코브라(Cobra)라는 접두어를 붙여 전송을 시도합니다.

my-homework.890m.com/bbs/data/tmp/Ping.php?WORD=com_(감염컴퓨터)&NOTE=(감염 시스템 OS정보 Base64) * Build Number : 7601, Major version : 6, Minor version : 1, Bit : 0.0

my-homework.890m.com/bbs/data/tmp/Cobra_(감염컴퓨터)

이렇듯 C2 서버와 하위 명령을 구분해, 추후 공격자에 대한 분석과 포렌식이 어렵도록 구성한 것이 특징입니다.

악성코드에 감염되면 컴퓨터 정보 등이 외부로 유출될 수 있으며, 추가 명령에 의해 또 다른 원격제어 등의 악성파일에 노출될 수 있어 각별한 주의가 필요합니다.

▶ 과거 유사한 악성코드 비교

 

'Windows 스크립트 파일(.wsf)' 유형의 APT 공격은 한국에서 자주 목격되지는 않습니다만, 2018년 01월 경에도 이와 비슷한 형태가 보고된 바 있습니다.

당시에는 '정보보고.wsf' 파일이 언론사를 상대로 공격이 시도된 정황이 포착된 바 있고, 이번과 유사하게 특정 인자를 받아 명령을 수행하게 됩니다.

jejuseongahn.org/hboard4/data/cheditor/badu/alpha.php?v=1

jejuseongahn.org/hboard4/data/cheditor/badu/alpha.php?v=2

jejuseongahn.org/hboard4/data/cheditor/badu/alpha.php?v=3

jejuseongahn.org/hboard4/data/cheditor/badu/alpha.php?v=4

  

이때 사용된 스크립트의 화면을 보면, 이번과 동일하게 코드배치와 파라미터가 사용된다는 것을 알 수 있습니다.

[그림 8] 2018년 발견된 WSF 악성코드와 2019년 발견된 WSF 코드 비교 화면

또한, 'Freedom.dll' 악성파일은 'AhnLab.ini' 설정파일 조건에 따라 한국의 또 다른 특정 서버로 통신을 시도하는데, 사용된 도메인은 암호화가 되어 있습니다.

접속을 시도하는 C2는 'ago2.co.kr' 입니다.

[그림 9] ago2.co.kr 주소 코드가 포함된 화면

'ago2.co.kr' 명령제어 서버는 2017년 05경에 제작된 또 다른 변종에서도 사용된 이력이 존재합니다. 그런데 해당 악성코드와 하위주소 등이 비슷하게 사용되었습니다.

[그림 10] 2017년 제작된 악성파일에서 사용된 ago2.co.kr 도메인

이외에도 다운로드된 파일의 디코딩 함수와 문자열 디코딩 방식이 모두 동일한 패턴으로 사용되었습니다.

ESRC에서는 이외에도 다양한 정황들이 매우 높은 유사성을 보여주고 있어, 동일한 위협조직으로 추정하고 있습니다.

공격에 사용된 각종 IoC 데이터와 추가 분석자료는 추후 쓰렛 인사이드(Threat Inside) 서비스를 통해 제공할 예정입니다.