상세 컨텐츠

본문 제목

김수키(Kimsuky) 2차 북미정상회담 좌담회 사칭 APT 공격, '작전명 라운드 테이블'

악성코드 분석 리포트

by 알약(Alyac) 2019. 2. 21. 13:19

본문



안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.


2019년 02월 21일 오전 제작된 새로운 지능형지속위협(APT) 공격이 발견되었습니다.


이 공격은 특정 정부가 지원하는 해킹조직으로 분류되어 있고, 2014년 한국수력원자력(한수원) 공격에 직접적으로 연결되어 있는 조직이며, 지난 2018년 11월 27일 공개했던 '작전명 블랙 리무진(Operation Black Limousine)'의 후속 캠페인으로 확인이 되었습니다.


관련 내용은 추후 '쓰렛인사이드(Threat Inside)' 서비스를 통해 보다 상세한 위협 인텔리전스 보고서와 IoC 등의 자료를 제공할 예정입니다.


위협조직이 사용한 공격벡터는 이메일에 악성 HWP 문서파일을 첨부해 공격 대상자에게 은밀히 전달하는 이른바 스피어피싱(Spear Phishing) 수법이 사용된 것으로 보고 있습니다.


특히, 이번 공격이 도널드 트럼프 미국 대통령과 김정은 북한 국무위원장이 2019년 2월 27~28일 베트남 하노이에서 가질 예정인 2차 북미 정상회담 결과에 대한 특별좌담회 문서파일을 미끼로 사용한 점에 주목하고 있습니다.


ESRC는 좌담회 등의 키워드를 활용해 이번 APT 공격을 '작전명 라운드 테이블(Operation Round Table)'로 명명했습니다.


해당 HWP 문서파일은 내부 코드 스트림이 한국시간(KST) 기준으로 2019년 02월 21일 10시 45분 (UTC+9)에 제작된 것을 알 수 있습니다.



[그림 1] 악성 HWP 문서파일의 생성 날짜와 시간



문서파일 내부의 'BinData' 스트림에는 'BIN0003.eps' 포스트 스크립트(Post Script) 코드가 포함되어 있으며, 취약점이 발생하는 구간입니다.


악성 포스트 스크립트가 작동하게 되면 특정 명령제어(C2)로 통신을 시도하여, 공격자의 추가적인 명령을 수신하게 됩니다.


그리고 다음과 같이 정상적인 문서내용을 보여주어 이용자로 하여금 마치 정상적인 내용처럼 속이게 됩니다.



[그림 2] 특정협회 초청의 글을 담고 있는 악성 문서 실행화면



'BIN0003.eps' 데이터에 포함되어 있는 악성 포스트 스크립트는 다음과 같이 구성되어 있으며, 기존에 널리 사용되던 방식이 그대로 사용되고 있습니다.



[그림 3] 악성 포스트 스크립트 코드 화면



포스트 스크립트 코드는 내부에 쉘코드(Shellcode) 부분을 포함하고 있으며, 다음과 변환과정을 거치게 됩니다.



[그림 4] 포스트 스크립트(Post Script)가 변환되는 과정



쉘코드 내부에는 공격자가 설정한 명령제어(C2) 서버주소가 포함되어 있는데, 한국의 특정 서버로 통신을 시도하게 됩니다.



- itoassn.mireene.co.kr/shop/shop/mail/com/mun/down[.]php



[그림 5] 쉘코드에 의해 통신을 시도하는 C2 서버 코드 화면



악성코드가 C2 서버와 통신을 하게 되면, 'down.php' 명령에 의해 마치 이미지(PNG)로 위장한 암호화된 데이터를 수신하게 됩니다.


그리고 암호화된 데이터는 복호화를 거쳐 임시 폴더에 '~emp.dll' 파일명으로 생성되어 추가적인 명령을 수행하게 됩니다.



[그림 6] 이미지 파일로 위장하고 암호화된 형태로 숨겨져 있는 악성코드


 

특히, 이 공격은 지난 2018년 11월 27일에 포스팅했던 '작전명 블랙 리무진(Operation Black Limousine)' 캠페인과 공격 TTPs(Tactics, Techniques and Procedures) 유사성이 매우 높습니다.



2014년 한수원 공격에서 발견된 바 있는 shellcode 기법과 동일한 패턴이 남북정상회담, 북미정상회담 등의 내용으로 수행된 APT 공격에서 지속적으로 발견되고 있습니다. 가장 최근에는 '~emp.exe', '~emp.dll' 파일명 등으로 사용되고 있습니다.


이번 2차 북미정상회담 좌담회 등의 내용을 담고 있던 악성코드의 shellcode 과정에서도 '~emp.dll' 파일명으로 사용된 것이 일치합니다.



[그림 7] 쉘코드 비교 화면



ESRC는 종합적인 위협 인텔리전스 분석을 통해 국가 차원의 특별 지원을 받는 위협그룹(State-sponsored Actor)의 활동이 꾸준히 증가하고 있다는 것을 확인하였습니다.


HWP 문서파일의 취약점이 지속적으로 악용되고 있으므로, 이용자들은 설치된 한컴오피스 프로그램을 항시 최신 버전으로 업데이트하여 유지하는 것이 중요하며, 현재 이 공격은 최신 버전으로 업데이트된 경우 취약점이 제거되어 사전에 예방이 가능합니다.


이번 공격과 관련되어 있는 블로그 포스팅은 다음과 같습니다.






관련글 더보기

댓글 영역