라자루스(Lazarus) APT 그룹, 신상명세서 문서로 위장한 공격 수행

안녕하세요?

이스트시큐리티 시큐리티대응센터 (이하 ESRC)입니다.

정부후원을 받는 대표적인 해킹조직 중 하나인 라자루스(Lazarus) 그룹의 활동이 계속 포착되는 가운데, 금일 새로운 악성 HWP 문서가 추가로 발견되었습니다.

이번 문서의 파일명은 '(필수)외주직원 신상명세서.hwp' 이며, 제작날짜는 2019년 07월 12일입니다.

문서종류를 보아 특정 기업의 외주직원 관계자를 겨냥한 것이 아닌가 의심됩니다.

더불어 지난 주 보고했던 '시스템 포팅 계약서(수정).hwp' 악성파일과 거의 동일한 시점에 제작이 되었고, 내부 공격코드나 명령제어(C2) 서버가 동일합니다.

그리고 '투자계약서_20190619.hwp' 공격 코드와도 거의 유사하지만, 코드 난독화를 한단계 더 추가한 특징이 있습니다.

▶ 라자루스APT 그룹, 시스템 포팅 명세서 사칭한 APT작전 무비코인으로 재등장 (2019. 07. 12)

▶ 암호화폐 거래자를 노린 Lazarus APT 공격 가속화 (2019. 07. 02)

▶ 라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격 (2019. 06. 27)

▶ 라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전 (2019. 06. 20)

File Name	MD5
(필수)외주직원 신상명세서.hwp	f79cc1ab1b4f0d18eba0bd3899edcf44

'시스템 포팅 계약서(수정).hwp' 문서파일과 동일하게 마지막 수정한 이름은 'USER'입니다.

[그림 1] HWP 악성문서 메타데이터 비교화면

'(필수)외주직원 신상명세서.hwp' 악성문서도 동일한 라자루스(Lazarus) 위협그룹이 공격에 사용한 것으로 보이며, 내부에는 다음과 같은 악성 포스트 스크립트가 포함되어 있습니다.

[그림 2] 악성 'BIN0001.PS' 포스트 스크립트 화면

문서가 실행되면 다음과 같은 정상적인 본문을 보여주면서, 취약점 여부에 따라 악의적인 코드가 작동하게 됩니다.

해당 내용을 살펴보면, 특정 금융관련 외주업체의 신상명세서 템플릿을 담고 있습니다.

[그림 3] 신상명세서 템플릿 내용 화면

포스트 스크립트에는 다음과 같이 16진수 코드가 XOR 로직으로 암호화되어 있습니다.

[그림 4] 포스트 스크립트 난독화 부분

16바이트(A5 34 46 DE 32 55 6F 2A 49 6F 8D 7E 78 CD 42 49) 코드로 복호화가 진행되면 다음과 같이 추가적인 포스트 스크립트와 쉘코드가 로드됩니다.

이 복호화키는 기존과 정확히 일치합니다.

[그림 5] 포스트 스크립트와 쉘코드 화면

난독화된 쉘코드가 실행되면, 기존과 동일한 C2 주소에서 최종 페이로드 바이너리를 설치하게 됩니다.

한국시간(KST) 기준으로 'adshow1.dat' 파일은 2019년 07월 12일 오전 09시 48분 01초에 제작되었습니다.

- https://technokain[.]com/ads/adshow1.dat (ef118025c43889f0fb9d5c816e815981) / 2019-07-12 09:48:01

- https://technokain[.]com/ads/adshow2.dat (28ef91c65dc459592d02a198b0a446f0) / 2019-07-12 09:48:08

해당 바이너리들은 내부 파일명이 각각 'movie32.dll', 'movie64.dll' 이며, 'DllEntryPointer' 익스포트 함수를 가지고 있습니다. 이 방식은 기존 배틀크루저, 스타크루저 캠페인과 유사성을 가집니다.

▶ 라자루스 APT 조직, 오퍼레이션 익스트림 잡(Operation Extreme Job)으로 공격 수행 (2019. 01. 31)

▶ 라자루스 최신 APT 작전 '배틀 크루저(Operation Battle Cruiser)' 재등장 (2018. 10. 23)

▶ 라자루스(Lazarus) APT, 유령 꼭두각시(Operation Ghost Puppet) (2018. 09. 20)

▶ '오퍼레이션 스타크루저(Operation Starcruiser)' 그룹의 변종 악성코드 발견 주의 (2018. 06. 22)

▶ 국가기반 APT 그룹 '오퍼레이션 스타 크루저(Operation Star Cruiser)' (2018. 04. 26)

▶ '오퍼레이션 배틀 크루저' 다양한 취약점으로 국내외 APT 공격 지속 (2018. 04. 11)

▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대 (2018. 01. 31)

▶ 라자루스(Lazarus) 조직, 암호화폐 관계자를 대상으로 한 스피어피싱 지속 (2017. 12. 04)

▶ 라자루스 위협조직, 비트코인 관련 내용으로 진행 중인 APT 공격 주의 (2017. 07. 03)

최종 바이너리는 다음과 같은 C2 서버로 통신을 시도하게 되며, 모두 워드프레스 기반으로 운영되는 웹 사이트입니다.

- https://www.weeklyexperts[.]com/wp-content/plugins/revslider/about.php

- https://www.payngrab[.]com/wordpress/wp-content/plugins/megamenu/about.php

- https://www.adhyatmikpunarjagran[.]org/wp-includes/Text/about.php

[그림 6] C2 코드 화면

라자루스 조직이 다양한 문서파일로 사칭해 공격을 수행하고 있어, 이용자들의 각별한 주의가 필요합니다.

해당 취약점은 이미 보안패치가 완료된 상태이므로, 이용자들은 사용중인 한컴오피스를 최신 버전으로 업데이트하여 유사한 보안위협에 노출되지 않도록 하여야 합니다.

ESRC에서는 해당 위협과 관련된 유사 침해사고 모니터링을 강화하고 있습니다.

현재 알약에서는 해당 악성파일들에 대해 'Exploit.HWP.Agent', 'Trojan.Agent.96256H' 등으로 탐지하고 있습니다.