안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
2019년 06월 27일, 암호화폐 ELYSIA 토큰세일 이벤트 당첨자 안내로 위장한 APT 공격이 포착되었습니다.
이번 공격은 지난 달 28일 발생했던 한국 유명 암호화폐 거래소 이벤트 경품 수령 안내와 동일한 방식이 사용되었고, 공격 배후에 이른바 김수키(Kimsuky) 조직이 있는 것으로 조사되었습니다.
ESRC에서는 05월 28일에 '김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생' 제목으로 관련 내용을 공개한 바 있습니다. 그리고 '김수키 조직, 사이버 안전국 암호화폐 민원안내로 사칭해 APT 공격 수행' 내용도 이어집니다.
새롭게 발견된 사례도 이벤트 당첨자 안내로 사칭한 패턴과 악성 HWP 문서를 활용했습니다.
[그림 1] 실제 공격에 사용된 스피어 피싱 이메일 화면
이메일에는 특정 이벤트 내용처럼 위장된 내용이 포함되어 있으며, '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 악성 문서파일이 포함되어 있습니다.
File Name |
MD5 |
이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp |
1b2a58dcbc4ca6dddd5ad213012243b7 |
악성 문서파일은 2019년 06월 27일에 제작되었으며, 내부에 'BIN0001.eps' 악성 포스트 스크립트가 포함되어 있습니다.
문서파일 자체 암호설정 기능이 있으며, 마지막 저장은 기존과 동일하게 'KKC' 입니다.
[그림 2] 문서 파일 내부 속성 화면
문서파일에는 'daybit' 암호가 설정되어 있으며, 키가 입력되면 다음과 같은 화면이 출력되면서 악성 포스트 스크립트가 작동하게 됩니다.
[그림 3] 악성문서 파일이 실행된 후 보여지는 화면
악성 포스트 스크립트에는 다음과 같이 난독화된 코드가 포함되어 있습니다.
[그림 4] 포스트 스크립트 내부 코드 화면
포스트 스크립트는 0xF0 키로 XOR 암호화 루틴이 적용되어 있습니다. 복호화가 이뤄지면 내부에 다시 한번 포스트 스크립트와 쉘코드가 작동하게 됩니다.
[그림 5] 포스트 스크립트와 쉘코드 화면
쉘코드가 작동하면 임베디드된 페이로드가 작동하고, 추가 파일을 다운로드하게 됩니다.
임베디드된 페이로드에는 과거 김수키 시리즈에서 사용된 스트링이 동일하게 포함되어 있습니다.
- WebKitFormBoundarywhpFxMBe19cSjFnG
[그림 6] 김수키 시리즈와 동일한 문자열
- http://smalldeal.mypressonline[.]com/post/post.php
- http://smalldeal.mypressonline[.]com/post/download.php
추가로 다운로드되는 파일은 0xFF 키로 암호화된 32비트 DLL 악성파일이며, VMProtect로 패킹되어 있습니다.
File Name |
MD5 |
loves111 |
86f5322c672fd57af092c0489da3bea5 |
해당 파일은 한국 보안제품 모듈처럼 속성정보(Ahnlab~.dll)를 위장하고 있습니다.
[그림 7] 보안 프로그램 모듈처럼 위장한 화면
해당 모듈은 '28484133-D90F-457E-A1EF-7C35090B3188' 뮤텍스 코드를 사용해 중복적으로 실행되지 않도록 활용합니다.
그리고 DAT 리소스에 인코딩된 또 다른 페이로드를 불러오게 되는데, 이 파일들은 2019년 06월 10일 제작되었습니다.
[그림 8] 리소스 데이터를 로드하는 과정
최종 페이로드는 한국의 이메일 서비스로 접근해 명령제어(C2) 기능을 시도하게 됩니다.
[그림9 ] 이메일 서비스로 통신을 시도하는 화면
ESRC에서는 기존과 동일한 공격벡터가 사용된 점에 주목해 유사한 위협을 조사하던 중 06월 27일 오전에 제작된 변종을 확인했습니다.
뮤텍스는 기존(28484133-D90F-457E-A1EF-7C35090B3188)과는 조금 다릅니다.
- D90EE368-89A5-4E8D-979B-1C5697E1457C
File Name |
MD5 |
Unknown |
21184bbf26f4e8317d61114f5bbe093d |
이 악성 모듈은 'C:\Users\[계정명]\AppData\Roaming\Ahnlab\002' 경로를 생성하고 구글 크롬 브라우저의 쿠키값을 'Cookies.dat' 파일로 저장합니다.
또한, 감염된 컴퓨터의 키보드 입력내용을 'k001~.dat' 파일명으로 저장하게 됩니다.
[그림 10] 구글 크롬 및 키로깅 정보 수집 화면
최근 발견된 사례들을 비교해 보면 C2 주소에서 일부 유사한 패턴이 보이기도 합니다.
▶ 김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시 (2019. 05. 20)
[그림 11] 최근 악성 HWP 비교 화면
ESRC에서는 해당 공격자가 2019년 06월 27일 오전에도 공격을 준비하고 있었다는 정황을 파악했습니다.
비트코인 시세가 급증하면서, 사이버 보안 위협도 비례적으로 증가할 수 있어 관계된 분들의 각별한 주의가 필요합니다.
유사한 보안 위협에 노출되지 않기 위해서는 한컴 오피스 제품군과 알약을 최신으로 업데이트해 주시길 바랍니다.
현재 알약에서는 관련 악성 파일들을 'Exploit.HWP.Agent', Trojan.Agent.545792B' 등으로 탐지 중입니다.
수입필증 및 정산서로 위장한 피싱메일 주의! (0) | 2019.07.01 |
---|---|
세금 계산서를 사칭하고 이중으로 압축한 악성파일을 유포하는 공격 주의! (0) | 2019.06.27 |
라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격 (0) | 2019.06.27 |
공정 부적합 사례를 위장한 피싱 메일을 통해 유포되는 Loki Bot 주의! (0) | 2019.06.24 |
포털 사이트 및 사무관을 사칭하여 계정 정보 노리는 피싱 메일 주의! (0) | 2019.06.21 |
댓글 영역