라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전

■ 라자루스, 무비 코인 작전으로 한국 맞춤형 APT 공격

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.

2019년 06월 20일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다.

'투자계약서_20190619.hwp' 파일명으로 발견된 악성 파일은 06월 19일 제작된 것으로 분석됐으며, 취약점에 의해 설치되는 최종 악성 DLL 모듈은 '2019년 06월 18일 21시 03분 경에 만들어졌습니다.

문서 파일 내부에는 'BIN0001.PS' 포스트 스크립트 파일이 포함되어 있습니다.

[그림 1] 악성 포스트 스크립트 코드 화면

포스트 스크립트 코드에는 [D0 7F 2B 6A 91 60 5B A7 BA 8C 25 9D 1C DE 0A 9B] 16바이트 키로 XOR 인코딩이 되어 있습니다.

복호화 로직이 진행되면, 다음과 같이 내부에 포함되어 있던 2차 포스트 스크립트 코드와 쉘코드가 나타나게 됩니다.

[그림 2] 2차 포스트 스크립트와 쉘코드 화면

쉘코드에는 C2 주소가 은밀하게 숨겨져 있으며, 2018년 10월 【라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser)' 재등장 (2018-10-23)】 포스팅과 동일하게 DD CC BB AA 코드를 기준으로 URL 주소가 선택됩니다.

- https://gozdeelektronik[.]net/wp-content/themes/0111/movie.png (32bit dll)

- https://gozdeelektronik[.]net/wp-content/themes/0111/movie.jpg (64bit dll)

[그림 3] 포스트 스크립트 쉘코드에 숨겨져 있는 C2 서버

'movie.png'  파일은 마치 이미지 파일로 위장되어 있지만, 실제로는 4바이트(0x31, 0x32, 0x33, 0x34)로 암호화된 32비트 악성 DLL 파일이며, 'movie.jpg'는 확장자가 다르고 암호화되지 않은 64비트 악성 DLL 파일입니다.

각각의 파일은 'movie32.dll', 'movie64.dll' 익스포트 함수명을 가지고 있습니다.

HWP 악성 문서는 취약점이 작동하면 다음과 같은 정상적인 문서 화면을 보여주어 사용자로 하여금 정상적인 문서 내용으로 현혹하게 됩니다.

[그림 4] 악성 HWP 문서가 실행된 후 보여지는 화면

문서 내용에는 암호화폐(비트코인) 운영 및 투자사업과 관련된 계약서 내용을 담고 있습니다.

ESRC에서는 약 1년 전쯤 오퍼레이션 배틀 크루저와 스타 크루저 등을 통해 라자루스 조직이 사용한 공격 벡터와 속성을 소개한 바 있습니다.

▶ '오퍼레이션 배틀 크루저' 다양한 취약점으로 국내외 APT 공격 지속 (2018-04-11)

▶ 국가기반 APT 그룹 '오퍼레이션 스타 크루저(Operation Star Cruiser)' 수행 (2018-04-26)

▶ 최신 APT 캠페인, 작전명 유령 꼭두각시(Operation Ghost Puppet) (2018-09-20)

※ 파일명 : 배틀(battle+플랫폼) → 스타(star+플랫폼) → 무비(movie+플랫폼)

- battle32.avi (OP. Battle Cruiser) → star3.avi (OP. Star Cruiser) → movie32.dll (OP. Movie Coin)

- battle64.avi (OP. Battle Cruiser) → star6.avi (OP. Star Cruiser) → movie64.dll (OP. Movie Coin)

악성 라이브러리는 기존과 유사한 파일명 패턴을 유지하면서 일부 변경되었다는 점을 알 수 있습니다.

ESRC에서는 이번 공격의 특징과 키워드를 조합해 '오퍼레이션 무비 코인(Operation Movie Coin)'으로 명명했습니다.

■ 최종 악성 Payload 코드 분석

32비트와 64비트 모듈 모두 동일한 C2로 통신을 시도하며, 추가 명령을 대기하게 됩니다.

- https://rxrenew[.]us/wp-content/themes/hestias/index.php

- https://creativefishstudio[.]com/newbiesspeak/left.php  

- https://sensationalsecrets[.]com/js/left.php      

[그림 5] 라이브러리 내부에 하드코딩된 C2 서버

공격자는 워드 프레스 기반의 웹 사이트에 악성 코드를 삽입하는 특징을 보였고, 더불어 서버에는 공격자가 사용한 것으로 보이는 웹쉘 코드가 발견되기도 했습니다.

이 웹쉘 코드는 러시아에서 제작된 WSO 2.5 버전입니다. WSO라는 이름은 'web shell by oRb' 표현의 약어로 사용됩니다.

[그림 6] PHP 웹쉘 코드 화면

2018년에 식별된 배틀 크루저 포스트 스크립트와 2019년 보고된 무비 코인 작전의 포스트 스크립트를 비교해 보면 동일한 형태를 띄고 있는 것을 알 수 있습니다.

[그림 7] 포스트 스크립트 비교 화면

최종 바이너리 코드는 스타일이 일부 변경 되었지만, 주요 로직 부분은 비슷한 흐름을 가지고 있습니다.

[그림 8] '배틀 크루저'와 '무비 코인' 바이너리 흐름 비교 화면

 

라자루스 조직이 김수키나 금성121 조직에 비해 한동안 소강상태였는데, 최근들어 다시 활동하는 모습이 포착되고 있습니다.

특히, 암호화폐 관련 내용의 미끼를 활용하는 등 금전적인 수익 목적의 해킹을 본격화할 가능성이 높아 보여 각별한 주의가 필요해 보입니다.

ESRC에서는 이와 관련된 유사 보안 위협 모니터링을 강화하고 있으며, 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공할 예정입니다.