포스팅 내용

악성코드 분석 리포트

금성121 APT 조직, '오퍼레이션 하이 엑스퍼트(Operation High Expert)'

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.

 

얼마전 2019년 03월 20일 "로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)" 리포트를 통해 '금성121(Geumseong121)' 조직이 HWP 문서기반 이력서를 사칭해 수행한 APT 공격 사례를 공개했습니다.

 

그리고 지난 01월 23일에는 "홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인" 제목으로 이들이 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황도 포착한 바 있습니다.

 

ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고 있으며, 그동안 알려지지 않았던 몇 가지 공격 사례를 추가로 확인하였습니다.

 

 

더불어 금성121 위협조직 배후에 '특정 정부의 후원을 받는 조직(state-sponsored actor)'이 존재하며, 과거 2018년 '로켓맨 캠페인에서는 '175.45.178.133' 아이피 주소가 발견'된 바 있습니다. 

 

 

Continent: Asia (AS) 
Country: Korea, Democratic People's Republic of (KP) 
Capital: Pyongyang 
ISP: Ryugyong-dong 
Organization: Ryugyong-dong

Connection-specific DNS Suffix  . : 
Description . . . . . . . . . . . : Realtek PCIe FE Family Controller
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 175.45.178.133(Preferred) 
Subnet Mask . . . . . . . . . . . : 255.255.255.240

 

■ APT 작전보안 실패(APT OPSEC FAIL)와 스모킹 건(Smoking Gun) 배경

 

정부후원을 받아 진행되는 고도의 사이버 작전에서 공격주체를 규명하고, 실체를 밝혀내는 과정은 매우 어려운 일입니다. 하지만 공격자가 수행한 다수의 위협 캠페인을 종합적으로 분석하고, 지속적인 관찰을 통해 어느정도 유의미한 데이터를 선별해 낼 수도 있습니다.

 

국가차원의 사이버위협은 마치 군사작전을 방불케할 정도로 은밀하게 진행되고 있으며, 실제 군인신분으로 사이버작전에 가담하고 있는 경우도 알려져 있습니다.

 

그러나 위협대상 환경이 다변화되고 공격이 급하게 진행될 경우 경험 및 준비 부족 또는 예기치 못한 실수 등으로 의도하지 않게 다양한 디지털 증거가 남게 됩니다. 이른바 결정적 단서로 비유되는 '스모킹 건(Smoking Gun)'이 사건 현장에 고스란히 남겨지며, 결국 군사용어 중 하나인 '작전보안 실패(OPSEC FAIL)'로 이어집니다.

 

이처럼 군사작전 보안지침이 사이버공간에서도 매우 중요한 요소로 꼽히며, 위협 조직과 배후를 밝혀내는데 활용됩니다. 아울러 사이버 위협 인텔리전스 분야에 군사보안 및 첩보 용어가 자연스럽게 접목되고 있습니다.

 

■ 금성121 조직, 로켓맨 캠페인 중 남겨진 의문의 퍼즐 조각들

 

▶ 로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)'

(2019. 03. 20)

▶ 홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인

(2019. 01. 23)

▶ '오퍼레이션 블랙버드(Operation Blackbird)', 금성121의 모바일 침공

(2018. 12. 13)

▶ 금성121(Geumseong121) '코리안 스워드(Operation Korean Sword) 작전' 수행 중

(2018. 11. 16)

▶ 금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Operation Rocket Man)'

(2018. 08. 22)

▶ '금성121' 그룹의 '남북이산가족찾기 전수조사' 사칭 이메일 주의

(2018. 07. 04)

▶ 금성121, Flash Player Zero-Day (CVE-2018-4878) 공격 주의

(2018. 02. 02)

 

2018년 10월 01일 보고된 악성 HWP 문서는 특정 탈북민의 운세 정보를 담고 있었습니다.

 

이 공격에서는 다음과 같은 C2가 사용되었습니다.

 

- youngs.dgweb[.]kr/skin15/include/bin/forlab.php

- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=1

- 211.218.126[.]236/ct/data/icon/files/pool.tar

- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=2

 

* youngs.dgweb[.]kr 도메인은 '오퍼레이션 골든 버드(Operation Golden Bird)'에서도 재활용됩니다.

 

[그림 1] 2018년 08월 로켓맨 캠페인(좌)과 2018년 10월 발견된 HWP 악성코드(우) 비교 화면 

 

2018년 07월과 10월까지 연속으로 발견된 HWP 취약점 악성파일을 비교해 보면, 동일하게 'easy' 계정명이 문서파일 저장에 사용된 것을 알 수 있습니다.

 

그리고 두개 모두 'HighExpert' 계정이 발견되었는데, 'DocOptions' 스트림에 포함되어 있는 '_LinkDoc' 데이터에 의도하지 않게 다음과 같은 실제 윈도우즈 계정이 포함되어 있습니다.

 

[그림 2] HighExpert 계정 화면

 

2018년에는 주로 이렇게 HWP 문서파일에 악의적인 코드를 삽입해 활용했지만, 2019년 01월에는 XLS 문서파일로 변경을 시도합니다.

 

당시에는 '홍삼6품단가 .xlsx', '섭외대상자.xlsx', 'TransactionBill.xlsx' 등이 발견된 바 있습니다.

 

[그림 3] 통일관련 단체로 위장한 스피어 피싱 화면

 

공격자는 엑셀파일에 데이터 연결 기능을 이용해 파워쉘 명령을 수행하도록 설정했습니다.

 

초기 공격에서는 아무런 내용 없이 #REF! 문자만 보여졌던 형태였지만, 이 내용이 바로 노출되었기 때문에 아무래도 공격 성공율이 낮았습니다.

 

그러나 공격자는 바로 다른 내용들을 포함해서 #REF! 문자가 눈에 잘 보이지 않도록 공격에 변화를 시도했습니다.

 

[그림 4] DDE 실행방식을 사용한 악성 엑셀문서

 

악성 XLSX 문서는 'externalLink1.xml' 파일에 [ddeService="cmd" ddeTopic="/c  p^o^w^er^sh^el^l] 파워쉘 명령을 통해 특정웹 사이트에서 악성파일을 다운로드하고 실행하도록 설정하게 만듭니다.

 

공격자가 이러한 설정을 거치는 과정에서 자신이 사용한 윈도우즈 계정이 문서파일 메타데이터와 'workbook.xml' 등에 여러 단서들을 남기게 됩니다.

 

실제 공격자가 다음과 같은 경로에서 악성 파일을 생성했다는 것을 파악할 수 있습니다.

 

- C:\Users\HighExpert\Documents\Sample\

 

[그림 5] HighExpert 경로가 발견된 화면

 

공격자는 이후에 좀더 다양한 형태로 스피어 피싱 공격을 수행하는데, 한국의 유명 결제 서비스 현금 영수증 내용처럼 위장한 공격을 수행하기도 했습니다.

 

[그림 6] N Pay 현금영수증 도착 이메일로 사칭한 공격 사례

 

- wooridz[.]com/editor/js/temp/dynamic.ini

 

이때에 사용된 서버는 한국의 특정 호스트로 연결이 되고 있는데, '홍삼6품단가 .xlsx' 공격에서도 동일한 도메인이 사용된 바 있습니다.

 

- wooridz[.]com/editor/sorak/U.conf
- wooridz[.]com/editor/sorak/U3.conf
- wooridz[.]com/editor/sorak/U4.conf
- wooridz[.]com/editor/sorak/defaults.conf

 

이 XLSX 파일에서는 공격자가 한글 폴더를 생성해 악성 문서를 제작했다는 단서를 확보할 수 있습니다.

 

- D:\00-문서들\MS Excel\

 

[그림 7] XLSX 문서 내부에 존재하는 공격자 활용 경로

 

■ 로켓맨 캠페인 'Operation HighExpert' OLE 주무기

 

2019년 03월 24일에는 다시 OLE 기법을 활용한 HWP 공격벡터로 최신 공격을 수행했습니다.

 

이번 공격에서는 마지막 저장이가 'Cinemat' 계정이 사용되었지만, HWP BinData 스트림에 포함되어 있는 'BIN0004.OLE' 영역 분석을 통해 공격자의 흔적을 식별할 수 있습니다.

 

OLE 기능을 통해 내부에 포함되어 있는 'hwp.exe' 파일을 생성하는 기능을 수행하는데, 마치 정상적인 프로그램처럼 파일명을 위장한 악성코드입니다.

 

그런데 이 파일을 설정하는 과정에서 공격자가 자신의 계정과 경로가 의도하지 않게 노출되었습니다.

 

C:\Users\HIGHEX~1\AppData\Local\Temp\hwp.exe

 

여기서 계정명은 일부 단축되었지만, [그림 2]와 사례와 같이 'HighExpert' 이름이 동일하게 사용된 것을 볼 수 있습니다.

 

[그림 8] HighExpert 계정이 발견된 화면

 

특히, 이번 공격 흐름에서 결정적인 단서가 하나 더 포착이 되는데, UPX 스크램블 기법을 사용하고 1단계에서 작동하는 페이로드(Payload) 모듈에서 과거에 사용하던 PDB 경로가 발견됩니다.

 

- F:\))PROG\ie\test.pdb

 

[그림 9] PROG PDB가 포함된 화면

 

여기서 사용된 PDB 경로는 'ESRC-1808-TLP-White-IR002_RocketMan_English' 보고서를 통해 이미 공개된 바 있습니다.

 

ESRC-1808-TLP-White-IR002_RocketMan_English.pdf
1.40MB

 

[그림 10] ESRC-1808-TLP-White-IR002_RocketMan_English 인텔리전스 리포트

 

금성121(Geumseong121) 위협조직은 한국의 대북단체, 외교, 안보, 통일, 국방분야 및 탈북민 등을 상대로 집중적인 APT 공격을 수행하고 있습니다. 그리고 주로 HWP, XLS 문서파일을 통한 공격을 주무기로 활용하고 있습니다.

 

이메일에 첨부파일이 존재하는 경우 각별한 주의가 필요하며, 윈도우즈 운영체제(OS)와 문서작성 프로그램을 항상 최신버전으로 업데이트해야 합니다. 그리고 신뢰할 수 있는 백신 프로그램을 설치하고, 실시간 감시 기능과 자동 업데이트 설정 등을 통해 알려진 보안위협에 노출되지 않도록 각별한 주의가 필요합니다.

 

ESRC는 보다 추가적인 IoC 데이터와 상세한 위협 인텔리전스 리포트를 ‘쓰렛 인사이드(Threat Inside)’ 서비스를 통해 기업 보안 등에 활용할 수 있도록 별도 제공할 예정에 있습니다.

 

 

티스토리 방명록 작성
name password homepage