'금성121' 조직, 북한 선교 학교 신청서 사칭으로 APT 공격

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2019년 06월 14일 제17기 북한선교학교 신청서 문서로 위장한 APT 공격 정황이 포착되었습니다.

ESRC에서는 해당 공격이 특정 정부의 후원을 받는 해킹조직 '금성121' 소행으로 분석을 완료한 상태입니다.

File Name	MD5
**_제17기 북한선교학교 신청서.hwp (이름 * 표시)	eb4384dbdac5f5177533714551bf16e2

해당 문서는 2019년 06월 12일에 마지막으로 수정되었으며, 작성자와 마지막 수정이는 다음과 같습니다.

'User1' 계정은 '금성121' 조직의 APT 공격에서 여러차례 식별된 바 있습니다.

Author	Last Saved By
네이버 한글캠페인	User1

- 금성121 조직, 학술회의 안내로 위장한 '프린팅 페이퍼' APT 공격 시도 (2019-05-02)

- 금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드 작전' 수행 중 (2018-11-16)

HWP 문서 파일의 내부 'BinData'에는 'BIN0002.ps' 포스트 스크립트 코드가 포함되어 있으며, 실행 시 다음과 같이 정상적인 신청서 화면을 보여주게 됩니다.

[그림 1] HWP 문서 파일이 실행된 후 보여지는 화면 (일부 모자이크 처리)

문서 내부에는 다음과 같은 구조의 데이터가 포함되어 있고, 포스트 스크립트 코드가 포함되어 있습니다.

포스트 스크립트는 인코딩 방식으로 자체 암호화되어 있습니다.

[그림 2] Post Script 코드 화면

인코딩 영역을 변환하면 다음과 같이 한번 더 포스트 스크립트 코드가 나타나게 됩니다.

[그림 3] 포스트 스크립트 인코딩 변환 화면

변환된 포스트 스크립트 코드에는 쉘코드가 16진수 값으로 포함되어 있으며, XOR 0x63 키로 암호화되어 있습니다.

쉘코드는 'BIN0002.ps' 영역에 암호화되어 있는 최종 바이너리를 'label.exe' 또는 'sort.exe' 코드에 인젝션해서 로드합니다. 그리고 드롭박스(Dropbox) 토큰을 통해 C2 서버와 통신을 시도하게 됩니다.

[그림 4] 디스크 레이블 유틸리티 'label.exe' 모듈을 통한 통신 시도 화면

최종 바이너리는 드롭박스(Dropbox) 토큰과 API 명령을 통해 공격자의 추가 명령을 수행하게 됩니다.

[그림 5] 드롭박스 접속 토큰 코드

 분석 시점에는 공격자가 생성한 유저계정이 비활성화되어 있는 상태였습니다.

[그림 6] 드롭박스 API 계정 정보 화면

최근까지 '금성121' 조직과 '김수키' 조직이 매우 활발하게 APT 공격에 가담하고 있어, 각별한 주의가 필요해 보입니다.

ESRC에서는 이번 공격과 관련된 추가 침해지표(IoC)와 인텔리전스 분석자료 등을 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 별도로 제공할 예정입니다. 

알약에서는 해당 악성코드들에 대한 긴급 업데이트를 완료한 상태이며, 'Exploit.HWP.Agent' 등으로 탐지 및 치료가 가능한 상태입니다.