포스팅 내용

악성코드 분석 리포트

암호화폐 거래자를 노린 Lazarus APT 공격 가속화



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.


한국을 공격 대상으로 활동하는 대표적인 APT 그룹인, 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121) 조직의 움직임이 최근 연속적으로 발생하고 있습니다.


금일, '금성121' 조직이 정치·통일·안보 관련 분야를 겨냥한 공격이 포착된 것에 이어 '라자루스' 그룹으로 분류된 APT 캠페인도 식별되었습니다.


'라자루스' 시리즈로 수행된 공격은 얼마전 있었던 【라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격】 사례와 마찬가지로 암호화폐 거래 관계자를 노렸습니다.


이번 공격은 2019년 06월 27일 오전 10시경부터 여러 사람들에게 유포되었고, 일부는 과거 특정 암호화폐 거래소 회원정보 해킹으로 유출된 사람에게도 전송되었습니다.



[그림 1] 실제 공격에 사용된 이메일 화면



이메일 제목에는 '쉐어하우스 임대사업' 문구를 담고 있으며, 본문과 첨부파일은 마치 대학생이 보낸 프로젝트 결과 보고서처럼 위장하고 있습니다.



 Filel Name 

 MD5

 20190626_현장프로젝트1 결과발표(4조).hwp

 35c6cf8858c2516b151dce81b7473bff



첨부파일 '20190626_현장프로젝트1 결과발표(4조).hwp' 문서가 실행되면 취약점 코드가 작동하고 다음과 같은 정상적인 문서 화면을 출력합니다.


실제 문서 내용을 담고 있으며, 취약점이 존재할 경우 이용자 몰래 백그라운드로 악성코드가 작동되기 때문에 피해자는 바로 악성여부를 파악하기 어렵습니다.



[그림 2] 악성 문서 실행 화면



이 악성문서 파일은 2019년 06월 26일 제작되었으며, 실제 공격은 27일에 수행된 것을 알 수 있습니다.


HWP 내부 구조를 살펴보면, 'BinData' 스트림에 악성 'BIN0001.PS' 포스트 스크립트가 존재하고 있습니다.



[그림 3] 악성 포스트 스크립트가 포함된 화면



악성 포스트 스크립트에는 인코딩된 Hex 코드가 포함되어 있으며, 다음과 같이 16바이트(BB 15 77 32 CB 52 B6 D3 0C 62 4D FB 11 1D 02 64)로 구성된 XOR 키로 복호화가 진행됩니다.



E977E6E6702D2791238> def 0 1 Y101 length 1 sub {/Y18 exch 1 2 and pop def Y101 dup Y18 get <BB157732CB52B6D30C624DFB111D0264> Y18 15 and /Y104 8 def get xor Y18 exch put} for Y101 cvx exec



16바이트 키로 복호화가 진행되면, 내부에 포함되어 있던 포스트 스크립트와 쉘코드가 나타납니다.



[그림 4] 복호화된 코드 화서



쉘코드에는 2개의 명령제어(C2) 서버를 통해 추가 악성파일을 다운로드 시도합니다.



https://darvishkhan[.]net/wp-content/uploads/2017/06/update3.dat

https://darvishkhan[.]net/wp-content/uploads/2017/06/update6.dat



[그림 5] C2 주소가 하드코딩되어 있는 화면



ESRC는 이러한 유사 공격이 지속되고 있음에 주목하고 있으며, 2019년 07월 02일 제작된 변종을 확인했습니다.



 File Name 

 MD5

 에어컨 유지보수 특수조건.hwp

 106f24660aa878c6aaa5f30422d1916b



'에어컨 유지보수 특수조건.hwp' 파일명으로 발견된 악성 문서파일은 기존 '20190626_현장프로젝트1 결과발표(4조).hwp' 파일과 동일한 구조를 가지고 있습니다.


포스트 스크립트만 비교해 봐도 거의 같은 흐름으로 코드가 실행된다는 것을 알 수 있으며, 최종 바이너리가 작동되는 과정도 정확히 일치하고 있습니다.



[그림 6] HWP 포스트 스크립트 비교 화면



이날 발견된 최신 공격에서는 다음과 같은 C2 주소가 사용되었습니다.



https://www.calderonflooring[.]com/wp-content/uploads/2018/webfont1.dat

https://www.calderonflooring[.]com/wp-content/uploads/2018/webfont2.dat



각각의 명령제어 서버는 모두 워드프레스(WordPress) 기반 웹 사이트로 공격자는 관련 취약점을 이용해 서버 접근 권한을 탈취한 것으로 추정됩니다.


지난 2019년 06월 20일 라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전 사례처럼 공격자는 워드프레스 사이트에 웹쉘을 등록한 바 있습니다.


이처럼 정부후원을 받는 것으로 알려진 여러 위협배후들이 한국을 대상으로 집중적인 APT 공격을 수행하고 있어 각별한 주의가 필요합니다.


특히, 기밀 정보탈취 목적의 사이버 첩보행위와 함께 비트코인 등의 거래자를 노린 외화벌이 목적의 공격까지 수행한다는 점을 명심해야 할 때입니다.


이스트시큐리티 알약제품에서는 해당 악성파일들을 'Exploit.HWP.Agent' 등으로 치료하고 있으며, 한컴 오피스 제품을 최신버전으로 업데이트할 경우 알려진 HWP 취약점 공격을 사전에 차단할 수 있습니다.




티스토리 방명록 작성
name password homepage