김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.

최근 사이버 보안 위협 수위가 점점 상승하고 있는 가운데, ▲외교 ▲안보 ▲국방 ▲통일 ▲대북분야 등에 속한 주요 인물을 상대로 사이버 첩보 수집 활동이 빈번히 목격되고 있습니다.

ESRC는 한국을 대상으로 한 몇몇 지능형지속위협(APT) 배후에 특정 정부가 조직적으로 가담하고 있으며, 수년간 사이버 작전을 진두지휘하고 있는 것으로 확신합니다.

이들은 한반도 정치 상황이나 혼란스런 사회 분위기를 틈타 심리기반 공격에 총력을 기울이는 특징이 있으며, 마치 신뢰할 수 있는 한국의 정부기관이 보낸 내용처럼 사칭해 이용자들을 현혹시킵니다.

또한, 사이버 전략전술 체계에서 교란 및 기만전술을 절묘하게 활용해 위협이 시작된 원점파악이나 조직속성 분석에 혼선이 생기도록 만듭니다.

김수키(Kimsuky) 조직의 최신 APT 공격인 '오퍼레이션 페이크 스트라이커(Operation Fake Striker)'는 가짜로 한국 기관을 사칭하고, 아르헨티나 유명 축구 선수이자 FC바르셀로나 소속의 '리오넬 메시'와 유사한 계정명이 발견됩니다.

■ 통일부를 사칭한 '오퍼레이션 페이크 스트라이커(Operation Fake Striker)' 배경

ESRC는 최신 APT 공격을 받은 것으로 의심된다는 제보와 함께 신속한 분석요청이 필요하다는 긴급 의뢰를 받았습니다.

보안협력과 함께 제한적으로 접수된 캡처 화면을 통해 마치 통일부 정세분석총괄과 발신 명의로 위장된 사실과 한반도 비핵화 대화재개 추진 현황 참고자료처럼 꾸며진 내용도 파악됐습니다.

이런 방식은 이메일 제목으로 한국 정부기관을 사칭했지만, 송수신자 계정 모두 동일한 포털사 이메일 서비스를 활용해, '메일서버 등록제(SPF: Sender Policy Framework)', DKIM(DomainKeys Identified Mail), DMARC(Domain-based Message Authentication, Reporting, and Conformance)를 통한 사전 차단은 현실적으로 쉽지 않습니다.

더불어 흔적이 남거나 외부에 신고되지 않도록, 이메일을 확인 후 꼭 삭제하라는 당부의 표현도 잊지 않았습니다.

여기서 중요한 점은 기한을 정해 회신을 유도한 것인데, 나름 관심 유발과 심리적 압박을 통해 첨부된 미끼 파일을 바로 열어 보도록 유도한 것입니다.

물론, 첨부된 참고자료는 악의적 코드를 포함한 악성 HWP 문서 파일이며, 취약점 여부에 따라 또 다른 위협에 노출될 수 있습니다.

[그림 1] 통일부 사칭의 스피어 피싱 이메일 화면

■ 한단계 더 난독화된 악성 HWP 문서 공격 기법 등장

현재 김수키(Kimsuky) 조직의 사이버 위협 활성도는 매우 높은 편이며, 스피어 피싱과 워터링 홀 등 상황에 맞는 공격 벡터를 적절히 구사합니다.

일부 공개된 유사 사례들을 살펴보면 다음과 같고, 발견되지 않은 사건들은 훨씬 더 많을 것으로 예상됩니다.

2018-02-12	오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형
2018-05-28	판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Onezero)' APT 공격 분석
2018-11-27	안보·외교·통일 관련 분야를 겨냥한 APT 공격, '작전명 블랙 리무진' 주의
2019-01-03	2019년 북한 신년사 평가로 위장한 오퍼레이션 엔케이 뉴이어 APT 등장
2019-01-07	통일부 기자단을 상대로 한 APT공격, '오퍼레이션 코브라 베놈(Cobra Venom)' 주의
2019-02-21	2차 북미정상회담 좌담회 초청으로 수행된 최신 APT 공격, 작전명 라운드 테이블
2019-04-03	김수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침묵 작전
2019-04-17	한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개
2019-05-13	암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2

05월에 새롭게 식별된 HWP 악성 파일은 전체 위협 벡터 흐름으로 봤을 때 큰 차이점은 없습니다.

다만, 기존에 알려져 있던 포스트 스크립트(Post Script)와 쉘코드(Shellcode) 난독화 패턴을 꾸준히 변경하면서, 보안 제품의 탐지를 우회하는데 집중하는 모습입니다.

악성 HWP 문서가 실행되면 다음과 같은 화면을 보여주어, 이용자로 하여금 마치 정상적인 문서로 인식하도록 만듭니다.

[그림 1-1] 악성 문서가 실행된 후 보여지는 화면

또한, 스텔스 파워 침묵작전 때처럼 문서 소프트웨어 암호 설정 기능을 적절히 사용해, 비밀번호를 입수하기 전까지 악성 여부를 파악하지 못하도록 방해 전술을 구사합니다.

물론 공격자는 시점에 따라 암호가 설정되지 않은 악성 문서를 투트랙으로 사용하기도 합니다.

이번에 접수된 '참고자료.hwp' 파일을 확인해 보면, 10자리의 특정 암호문자가 설정되어 있었고, 문서 작성자는 '임병철', 마지막 저장자는 'MESSI' 계정이 사용되었습니다.

File Name	참고자료.hwp
MD5	75892ed0a26593b90246c0856501a74e

[그림 2] HWP 문서 파일 내부 포맷 정보

김수키 조직이 활용한 악성 HWP 문서들 중에는 동일 작성자가 포함된 문서가 여러차례 발견된 바 있는데, '판문점 선언 관련 내용의 문서로 수행된 【작전명 원제로(Operation Onezero)' APT 공격 분석】 리포팅에서는 김수키 조직과 금성121 조직이 오버랩된 사례를 공개한 바 있습니다.

[그림 3] 김수키와 금성121 비교 자료 화면

'참고자료.hwp' 파일 내부에는 'BIN0001.eps' 포스트 스크립트 코드가 포함되어 있고, 암호와 압축 설정이 해제되면 다음과 같은 내부 스크립트를 확인할 수 있습니다.

스크립트에는 암호화된 포스트 스크립트 선언부와 복호화 명령부분 그리고 인코딩된 페이로드 영역으로 나뉘어져 있습니다.

[그림 4] EPS 포스트 스크립트 코드 내부 화면

암호화된 포스트 스크립트 영역은 0xDF 키와 XOR 디코딩 루틴을 통해 복호화 과정을 거칩니다.

복호화된 코드에는 포스트 스크립트 명령을 통해 내부 쉘코드 영역을 로드하게 됩니다.

[그림 5] 포스트 스크립트 내부에 포함되어 있는 쉘코드 화면

쉘코드 명령이 정상적으로 작동하면, 'BIN0001.eps' 포스트 스크립트에서 페이로드가 인코딩된 특정 위치의 4바이트 값 0x5C 0x28 0xF8 0x1C 위치를 비교하게 됩니다.

디코딩 비교 4바이트 위치는 포스트 스크립트의 exec 실행 명령 다음으로 지정되어 있고, 변종에 따라 쉘코드의 인코딩 비교 위치는 가변적으로 달라지고 있습니다.

[그림 6] 인코딩 코드 위치 비교 화면

인코딩된 페이로드는 4바이트의 0x6D, 0xA3, 0xC7, 0x7E 키로 XOR 복호화가 가능하며, 디코딩이 완료되면 2019년 03월 26일 오후에 빌드된 32비트 EXE 페이로드가 나타납니다.

이 모듈은 감염된 컴퓨터의 디렉토리 구성정보(dir), 시스템 정보(systeminfo), 프로세스 작업 정보(tasklist) 등을 수집하고 C2로 전송을 시도합니다.

공격자가 사용하는 명령제어(C2) 서버는 다음과 같습니다.

- nid2-naver-com.medianewsonline[.]com

: home/jpg/post[.]php

: home/jpg/download[.]php

ESRC는 2016년 07월 제작된 메일 발송 프로그램(SendMail.exe)을 확보할 수 있었는데, 동일한 C2를 사용하고 있습니다. 이 프로그램은 인도의 'smtp.india.com' 서비스를 이용하고 있으며, 계정은 'kalvin255@india[.]com' 입니다.

- C:\Documents and Settings\Administrator\My Documents\Auto SendMail(naver)\Debug\SendMail.pdb

참고로 'mail.india.com' 서비스는 2019년 05월 06일부로 종료되었고, 'mail.com' 서비스로 전환 유도하고 있습니다.   

[그림 6-1] 동일한 C2를 쓰는 메일 발송 프로그램

■ 유사 변종 사례 비교 및 후속 공격

악성코드가 수집한 정보가 C2 서버로 전송될 때는 다음과 같은 통신 매개변수 폼 데이터가 사용되는데, 과거 '오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형' 블로그와 동일한 패턴의 문자열이 그대로 사용되었고, 'GHOST419.down' 파일을 XOR 0xFF로 변환하는 것도 동일합니다.

- WebKitFormBoundarywhpFxMBe19cSjFnG

[그림 7] 2017년 발견된 유사 위협 사례

그리고 추가 다운로드 명령을 받기 위해 사용하는 인자값으로 'tjdrhd16' 코드가 사용됩니다.

이 영문 알파벳 부분을 키보드 한글 입력상태로 타이핑하면 '성공16' 이라는 표현으로 변환됩니다.

공격자가 한글 자판을 사용하고 있다는 흔적이며, 감염된 컴퓨터의 정보 수집을 통해 후속공격까지 준비되어 있다는 것을 알 수 있습니다.

[그림 8] 추가 다운로드에 사용하는 한글 문자열

추가로 받아진 파일은 VMProtect 프로그램으로 패킹되어 있으며, 특정 이메일 서비스로 정보를 전송시도하는 것으로 확인됩니다. 현재 자세한 추가 분석을 진행하고 있습니다.

ESRC는 이와 거의 유사한 변종을 확보해 분석을 진행하고 있으며, 침해지표(IoC)와 종합 분석자료는 추후 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 서비스를 통해 제공할 예정입니다.