홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.

작년 08월 22일 ESRC에서는 '작전명 로켓 맨(Operation Rocket Man)' 공격 분석을 상세하게 공개한 바 있습니다. 이 공격은 당시 한국에 거주하는 일부 탈북민과 대북단체(장) 등이 위협 대상에 포함됐던 것으로 추정됩니다.

[그림 1] 2018년 08월 유포된 악성 문서 파일

2018년 당시 '로켓맨' APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행이 되었습니다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했습니다.

APT 공격에 사용된 '통지.HWP' 취약점 파일에는 제작자와 마지막 수정자 모두 'HighExpert' 계정이 사용되었습니다.

[그림 2] HWP 문서파일에 등록되어 있는 HighExpert 화면

물론, 이외에도 로켓맨 작전과 관련된 다수의 침해사건에서 여러차례 발견이 된 바 있고, ESRC에서는 해당 위협 조직을 특정 정부가 지원하는 국가차원의 해킹그룹으로 분류하였고, '금성121(Geumseong121)'로 칭하고 있습니다.

■ 설명절, 파괴기능까지 가지고 다시 돌아온 로켓맨

ESRC에서는 2019년 01월 18일 제작된 새로운 로켓맨 캠페인 변종을 발견했습니다. 이 공격은 기존처럼 HWP 문서 파일의 취약점 대신 MS Office XLS 문서파일의 취약점이 악용되었습니다.

악성파일은 '홍삼6품단가 .xlsx' 파일명과 내용을 담고 있으며, 곧 다가오는 한국의 설연휴 시즌을 사회공학적 기법과 교묘히 결합해 심리기반 스피어피싱(Spear Phishing) 공격에 활용했을 것으로 보고 있습니다.

흥미로운 점은 기존 HWP 문서파일에서 발견됐던 'HighExpert' 계정이 이번 공격에도 동일하게 사용되었다는 점이며, 추가로 생성되는 악성 EXE 파일도 예전 공격에 이용된 것과 마찬가지로 한국의 N 포털사 보안 프로그램 아이콘으로 위장하고 있습니다.

이번 악성 문서의 만든이는 'RKS'로 지정되어 있고, 마지막으로 수정한 사람에 'HighExpert' 아이디가 포함되어 있습니다.

저희는 이번 공격에 활용된 코드 중에 설 연휴 선물 시즌과 시스템을 파괴하는 기능의 파일명 등을 조합해 '작전명 홀리데이 와이퍼(Operation Holiday Wiper)'로 명명하였고, 이후 이들 조직에 대한 상세한 추가 분석자료 및 침해지표(IoC) 자료는 기업용 Threat Inside 서비스를 통해 지속적으로 제공할 예정입니다.

[그림 3] HighExpert 계정이 포함된 화면

'홍삼6품단가 .xlsx' 문서파일은 실행할 경우 다음과 같이 홍삼 제품관련 단가 리스트가 보여지고, 일부 문자가 깨져서 보여집니다.

그리고 본문 하단에는 '글자가 깨여지면 위에 있는 콘텐츠허용 버튼을 눌러보세요.' 라는 빨간색 글자로 [콘텐츠 사용] 버튼 클릭을 유도하고 있습니다.

[그림 4] 악성문서 '홍삼6품단가 .xlsx' 실행된 화면

여기서 사용된 문구중에 '깨여지면' 이라고 사용된 한글은 사실 한국적 표현(깨지면)보다는 북한에서 사용하는 표현에 가깝습니다. 아래는 실제 북한에서 사용 중인 표현 방식 중 일부입니다.

[그림 5] 북한에서 사용 중인 표현 방식 화면

[그림 5-1] 깨어지다의 북한어 화면

■ 코드기반 공격 벡터 분석

스피어 피싱 해킹 메일을 수신한 사람이 만약 해당 파일을 다운로드해, [콘텐츠 사용] 버튼을 누르게 되면, MS 오피스 버전과 설정에 따라 다음과 같이 보안 경고 창이 나타나기도 합니다.

이때 만약 [예(Y)] 버튼을 누르게 되면 악의적인 매크로 코드가 작동을 하게 됩니다.

[그림 6] 보안 주의 경고 화면

보안상 취약한 코드가 작동을 하게 되면, XLS 내부에 포함되어 있는 익스터널 링크 코드가 작동되고 그 다음에 파워쉘 임포트 모듈 명령을 통해 한국의 의료관련 특정 웹 사이트로 접속해 추가 악성파일을 다운로드하고 실행하게 됩니다.

다운로드될 때 악성코드는 %temp% 폴더 경로에 'aqq.exe' 파일명으로 생성됩니다.

[그림 7] 악성 파워쉘 명령을 통한 추가 페이로드 다운로드 코드 화면

임시폴더 경로에 생성된 파일은 기존 '오퍼레이션 로켓맨'에서 사용된 것과 동일하게 한국의 포털 사 보안 프로그램 아이콘으로 위장하고 있는 특징이 있습니다.

[그림 8] 악성코드가 사용한 아이콘과 한국 포털사 보안 프로그램의 이미지 비교

한국의 유명 포털사 보안프로그램 아이콘으로 위장한 악성코드는 2019년 01월 17일 오후 3시 41분 경 제작되었으며, 해킹된 것으로 추정되는 한국의 의료관련 웹 사이트(C2)와 통신을 시도하게 됩니다.

- wooridz[.]com/editor/sorak/U.conf

- wooridz[.]com/editor/sorak/U3.conf

- wooridz[.]com/editor/sorak/U4.conf

- wooridz[.]com/editor/sorak/defaults.conf

추가 통신과 명령이 정상적으로 수행되면 'U3.conf', 'U4.conf', 'defaults.conf' 파일 등이 추가 다운로드됩니다.

이번 공격에 사용된 악성코드 내부에서도 기존과 동일하게 'Rocket' 경로가 발견되었습니다.

[그림 8-1] Rocket PDB가 포함되어 있는 화면 

- E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debug\net35\Pubnub.pdb

[그림 9] 추가 파일 다운로드 기능 코드 화면

'U.conf' 파일이 메인 숙주이며, 이 파일은 다음과 같이 2019년 01월 17일 수정이 된 것을 알 수 있습니다. 이 파일에 의해서 추가 파일이 다운로드되는 과정을 거치게 됩니다.

[그림 10] 악성코드가 다운로드되는 패킷 화면

추가로 다운로드되는 파일들은 기존 로켓맨 공격과 유사하게 닷넷 기반으로 프로그래밍된 악성코드가 사용되었습니다. 이 코드들은 2018년 12월 11일 제작된 것으로 분석되었습니다.

공격자는 이번에도 해킹된 특정 웹 사이트에 암호화된 통신 명령 파일을 등록해 두었고, 서비스로서의 인프라스트럭처(Infrastructure as a Service)의 하나인 퍼브너브(PubNub) 채널로 명령제어(C2)통신을 시도하게 됩니다.

[그림 11] 해킹된 한국 웹 사이트에 등록된 암호화된 통신 코드 화면

암호화된 코드를 복호화하면 다음과 같이 PubNub 사이트로 통신하는 코드가 확인됩니다.

ps.pndsn.compeihesub-c-66d9ea22-fb4a-11e8-b809-8ee1f208b3b7pub-c-9eca65af-bfd9-4759-8dbe-bedf6b710673sec-c-N2YyZmZlYzQtOWI2MS00NjU2LWI0ZTktMzU0MTMzZGE1ZDhmcip-c-yougotthekeyplease9738

■ 공격자 명령에 따라 파일 삭제 등 시스템 파괴(Wiper) 명령 수행

공격자는 PubNub 사이트를 통해 감염된 시스템 중 조건에 따라 폴더와 파일을 삭제하는 기능의 추가 명령을 내리고 있기도 합니다.

따라서 공격자가 지정한 시스템의 경우 주요 데이터가 파괴되는 피해를 입을 수 있습니다. C 드라이브의 주요 파일들이 은밀하게 삭제되고, D 드라이브 등은 볼륨이 삭제되는 피해를 입을 수 있어, 보관 중인 데이터들이 모두 사라지는 피해를 입을 수 있습니다.

만약, 공격자가 관리자 권한을 획득해 파괴 명령을 수행하면, 모든 드라이브의 MBR 영역이 파괴되는 피해를 입을 수 있게 됩니다.

[그림 12] 폴더와 파일 삭제 기능 코드 화면

[그림 13] 물리적(MBR) 드라이브에 접근하는 화면

[그림 14] ] 물리적 드라이브가 파괴되어 부팅이 안되는 화면

ESRC는 이번 APT 공격이 치밀하게 준비된 공격 중에 하나로 보고 있으며, 한국인터넷진흥원(KISA) 등과 긴밀하게 협조하고 있습니다.

보다 추가적인 IoC 데이터와 상세한 위협 인텔리전스 리포트는 ‘쓰렛 인사이드(Threat Inside)’ 서비스를 통해 기업 보안 등에 활용할 수 있도록 제공할 예정에 있습니다.