포스팅 내용

악성코드 분석 리포트

전방위 '무비 코인' APT 작전을 수행하는 Lazarus 그룹 위협 증대



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.


2019년 07월 23일, 3종류의 악성 HWP 문서파일이 발견되었는데, 모두 동일한 취약점과 명령제어(C2)서버를 사용하였습니다.


ESRC는 이번 APT 공격을 분석한 결과, 위협 배후에 특정 정부의 후원을 받는 일명 라자루스(Lazarus) 그룹이 연계된 것으로 분류했으며, 해당 캠페인이 최근 지속적으로 발견되고 있는 '오퍼레이션 무비 코인(Operation. Movie Coin)'의 연장선으로 확인했습니다.


'무비 코인' 사이버 작전의 경우, 국내 유명 암호화폐 거래소에 가입되어 있던 회원들이 주요 공격 대상에 포함되어 있는 공통점이 존재합니다.





새롭게 식별된 악성 문서 파일은 다음과 같은 속성과 침해지표를 가지고 있는데, 3개 모두 거의 같은 시점에 수정이 되었고 동일한 아이디에서 수정된 것을 알 수 있습니다.



 File Name 

 MD5

 Last Saved By Author

 Last Saved Time

 Final(1-5).hwp

 421f90cde696889d53d03e1a300208df

 USER

 (주)한글과컴퓨터

 2019-07-23 15:48:15

 Last 1~5.hwp

 8d673685d8e99fd2b6a23a6651bccb6b

 USER (주)한글과컴퓨터 2019-07-23 15:48:32

 챠트 4-5.hwp

 7ff18263c80393d626a10e07441442f7

 USER (주)한글과컴퓨터 2019-07-23 15:47:56



각각의 문서 파일은 모두 동일한 포스트 스크립트 취약점이 사용되었고, 기존 '무비 코인' 공격벡터와 동일합니다.



[그림 1] 'Final(1-5).hwp' 악성 문서 파일의 포스트 스크립트 화면



1단계 포스트 스크립트에는 인코딩된 HEX 코드와 16바이트 키로 XOR 연산을 통해 디코딩 절차를 거치게 되며, 2단계 포스트 스크립트와 쉘코드를 통해 명령제어(C2) 서버와 통신을 수행하고 32비트, 64비트로 제작된 페이로드를 다운로드하게 됩니다.



 File Name 

 XOR Key

 Final(1-5).hwp

 0x4044032952E6C754FB131D8023D13E6B

 Last 1~5.hwp

 0x3338CB79D330F1CBAD1C897D74D2F2AA

 챠트 4-5.hwp

 0xD6B4C35B27577F6FFE30B3114C006E20



XOR 디코딩 로직이 진행되면 다음과 같이 또 다른 포스트 스크립트와 쉘코드 조합의 함수들이 나타납니다.



[그림 1-1] 포스트 스크립트와 쉘코드 화면


쉘코드는 디코딩 루틴을 통해 다음과 같이 C2 서버로 연결을 시도하게 됩니다.



[그림 1-2] 쉘코드가 변환되는 과정



이번에 사용된 문서 파일들은 파일명은 다르지만 모두 동일한 논문 내용을 담고 있으며, 고려대학교 대학원 국어국문학과 한국어문화교육을 전공하는 학생이 작성한 것으로 표기되어 있습니다.


 

[그림 1-3] 악성 문서가 실행된 화면



3개의 문서 파일에 포함된 포스트 스크립트의 암호화 키는 모두 다르게 설정되어 있지만, 악성 모듈의 C2 주소는 모두 동일합니다.



- https://www.sbaragliavareadores[.]es/images/a.avi (32비트) - movie32.dll / drukom

- https://www.sbaragliavareadores[.]es/images/b.avi (64비트) - movie64.dll / drukom



 File Name 

 MD5

 a.avi (movie32.dll)

 1bad6702b4a40e4e48be86e7d0e8b17b

 b.avi (movie64.dll) 0856655351acffa1ee459eeeaf164756



공격자는 해당 악성 파일명을 마치 동영상처럼 보이도록 확장자를 'avi' 문자로 설정했으며, 해킹된 서버에 등록할 때는 날짜를 2014년 08월 28일로 의도적으로 설정해 두었습니다.


악성 파일의 날짜와 시간은 기존에 정상적으로 등록된 'ico_nav_dark.png' 파일명을 따라했는데, 이를 통해 서버 관리자나 보안 점검에서 노출되지 않도록 만들었습니다.



[그림 2] C2 서버의 내부 화면



'a.avi', 'b.avi' 파일은 내부 파일명이 각각 'movie32.dll', 'movie64.dll'로 '무비 코인' 오퍼레이션 상태가 그대로 활용되고 있습니다.



※ 파일명 : 배틀(battle+플랫폼) → 스타(star+플랫폼) → 무비(movie+플랫폼)


- battle32.avi (OP. Battle Cruiser) → star3.avi (OP. Star Cruiser) → movie32.dll (OP. Movie Coin)

- battle64.avi (OP. Battle Cruiser) → star6.avi (OP. Star Cruiser) → movie64.dll (OP. Movie Coin)



해당 모듈에는 'AFX_DIALOG_LAYOUT' 리소스를 보유하고 있으며, 내부에는 한국어로 설정된 것을 알 수 있습니다.


공격자가 한국어 기반의 프로그래밍 환경에서 악성 파일을 제작했다는 단서로 분류할 수 있습니다.



[그림 3] 악성 파일 리소스의 한국어 설정 화면



최종 페이로드는 3개의 C2 서버로 접속을 시도하고, 정보 유출 및 추가 명령을 수행하게 되는데, 기존 캠페인과 동일하게 모두 워드프레스 기반의 웹 서버로 구성되어 있습니다.


공격자는 워드 프레스 기반의 웹 서버를 집중적으로 해킹해 거점 서버로 활용하고 있는 상황입니다.



https://castorbyg[.]dk/wp-content/themes/302.php

https://www.matthias-dlugi[.]de/wp-content/themes/twentyfifteen/helper.php

https://locphuland[.]com/wp-content/themes/hikma/total.php



[그림 4] 바이너리에 포함되어 있는 C2 코드 화면



'무비 코인' 시리즈는 2018년 '유령 꼭두각시', '스타 크루저', '배틀 크루저' 오퍼레이션 시리즈의 공격 벡터와 Tactics, Techniques and Procedures (TTPs) 등이 모두 동일하며, 라자루스 공격조직과 직접적으로 연결되고 있습니다.



[그림 5] 2018년 오퍼레이션 배틀 크루저와 2019년 오퍼레이션 무비 코인 함수 비교 화면 



ESRC에서는 정부 지원을 받는 APT 해킹조직인 라자루스(Lazarus) 활동이 급증하고 있어, 유사 보안 위협의 모니터링을 강화하고 있습니다.


더불어 해당 침해지표(IoC)와 관련 자료를 한국인터넷진흥원(KISA) 등 유관기관과 긴밀하게 공유하고 있으며, 알약 제품군에 신속하게 업데이트를 제공하고 있습니다.


알약에서는 해당 악성문서 파일 및 연관 악성코드에 대해 Trojan.Agent.200192, Trojan.Agent.96768C, Exploit.HWP.Agent 등으로 탐지하고 있습니다. 




티스토리 방명록 작성
name password homepage