금성121 APT 조직, 안보통일관련 소식으로 스피어피싱 공격 시도

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2019년 07월 02일 안보관련 연구위원이 작성한 문서처럼 사칭해 APT(지능형지속위협) 공격이 수행된 정황을 포착했습니다.

공격자는 한국의 특정 연구원 안보통일센터로 사칭해 스피어피싱(Spear Phishing) 공격을 시도했으며, 이메일에 악성 문서를 압축 첨부하여 전송하였습니다.

압축 파일 내부에는 3개의 HWP 문서가 포함되어 있었고, 1개의 문서가 악성 기능을 수행합니다.

[악성파일]

- 190701 (현안보고 2019-07) 北의 우리당에 대한 정치공작과 대책.hwp

[정상파일]

- 190701대북동향 보고.hwp

- 190702대북동향 보고.hwp

ESRC는 이 공격의 배후가 특정 정부의 후원을 받고 있는 해킹조직 일명 '금성121(Geumseong121)' 그룹이 있는 것으로 분석을 완료하였습니다.

이번 공격은 지난 달 보고된 【'금성121' 조직, 북한 선교 학교 신청서 사칭으로 APT 공격】의 동일 캠페인으로 분류되었으며, '190701 (현안보고 2019-07) 北의 우리당에 대한 정치공작과 대책.hwp' 파일로 공격이 수행되었습니다.

File Name	MD5
190701 (현안보고 2019-07) 北의 우리당에 대한 정치공작과 대책.hwp	8d288694c9910d16fe86b363ae3c7d34

해당 문서는 2019년 07월 02일 'A'라는 계정에서 마지막으로 수정되었으며, 실행되면 다음과 같은 화면이 보여집니다.

[그림 1] 악성 문서가 실행된 후 보여지는 화면

악성 문서 내부에는 다음과 같은 'BIN0002.ps' 악성 포스트 스크립트가 포함되어 있으며, 난독화된 코드가 포함되어 있습니다.

[그림 2] 난독화된 포스트 스크립트 화면

인코딩된 데이터를 디코딩하면 다음과 같이 평문형식의 포스트 스크립트가 나타나며, XOR 0xA4 키로 암호화가 적용되어 있습니다.

[그림 3] 디코딩 후 내부 포스트 스크립트 화면

암호화되어 있던 영역은 쉘코드 기능을 통해 특정 바이트를 확인하고, 정상 프로세스에 악성 코드를 삽입하게 됩니다.

[그림 4] 쉘코드 내부 함수 화면

최종적으로 복호화된 악성코드 페이로드는 2019년 07월 02일 제작되었으며, 드롭박스 토큰을 통해 C2 서버와 통신을 수행합니다.

이런 과정을 통해 공격자가 준비한 다양한 후속 위협에 노출될 가능성이 존재합니다.

C2	Token
Dropbox	qTMeZVgI8uAAAAAAAAAAH9RzQtPILK1CRzTritFoBzpjCAPEbA_ZN9AHjb4MQtp8

[그림 5] 드롭박스 토큰 코드 화면

ESRC에서 코드 분석이 진행되던 시점에는 해당 서버와의 정상적인 통신이 진행되진 않았습니다.

그러나 과거 사례를 비교해 봤을 때 공격자는 특정 인사들에 대한 표적 공격을 치밀하게 준비했을 것으로 예상됩니다.

[그림 6] 드롭박스 토큰 계정 중단 화면

최근들어 정부후원을 받는 것으로 알려진 위협사례가 지속되고 있어 각별한 주의가 필요합니다.

이번 APT 공격은 HWP 취약점이 제거된 최신 한컴오피스 조건에서는 감염되지 않으므로, 항시 최신 버전으로 유지하는 것이 무엇보다 중요합니다.

현재 알약에서는 긴급 업데이트를 통해 해당 악성파일을 'Exploit.HWP.Agent' 등으로 치료하고 있습니다. 

▶ '금성121' 조직, 북한 선교 학교 신청서 사칭으로 APT 공격 (2019. 06. 15)

▶ 금성121 조직, 학술회의 안내로 위장한 '프린팅 페이퍼' APT 공격 시도 (2019. 05. 02)

▶ 금성121, <로켓맨 캠페인> 오퍼레이션 '블랙 배너' APT 공격 등장 (2019. 04. 29)

▶ '금성121 조직', 통일부를 사칭한 APT 공격, 구글 드라이브로 악성코드 전파 (2019. 04. 22)

▶ 금성121 APT 조직, '오퍼레이션 하이 엑스퍼트(Operation High Expert)' (2019. 04. 02)

▶ 로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)' (2019. 03. 20)

▶ '오퍼레이션 블랙버드(Operation Blackbird)', 금성121의 모바일 침공 (2018. 12. 13)

▶ 금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드 작전' 수행 중 (2018. 11. 16)

▶ 금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Operation Rocket Man)' (2018. 08. 22)
▶ '금성121' 그룹의 '남북이산가족찾기 전수조사' 사칭 이메일 주의 (2018. 07. 04)

▶ 금성121, Flash Player Zero-Day (CVE-2018-4878) 공격 주의 (2018. 02. 02)