라자루스 APT, 국내 보안업체의 유효한 디지털서명을 탑재한 악성코드 주의!

안녕하세요?

이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다.

2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다.

이번에 포착된 악성코드의 경우, 일단 감염이 이뤄지게 되면 스케쥴러에 Jav Maintenance64라는 이름으로 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치합니다. 공격자는 봇에 감염된 PC에 임의의 추가 악성행위를 수행할 수 있게 됩니다.

이번 악성코드는 국내 보안업체의 디지털서명을 악용한 것이 가장 주목할 만한 부분이라고 할 수 있습니다. 디지털서명이 있는 모듈은 일반적으로 해당업체의 서명이 포함된 위변조되지 않은 무결성을 가진 프로그램이라고 인식하기 때문에 화이트리스트 기반 솔루션 및 보안장비 등을 우회하기에 상대적으로 용이합니다. 공격자들은 이점을 노려 정상적인 보안업체의 디지털서명을 탈취하여 공격에 악용하려 했던 것으로 보여집니다.

[그림1] 악성코드에 탑재된 특정보안업체의 유효한 디지털서명

또한 이번 공격의 경우, 2016년과 2017년에 걸쳐 국내 공공기관/금융기관을 대상으로 APT공격을 수행했던 조직이 사용한 커스텀 암호화 알고리즘을 그대로 사용하고 있는 점이 분석결과 확인되었는데, 보안업체의 정상 디지털서명을 탈취하여 악용한 점까지 고려했을 때, 발견된 악성코드와 악성URL이 대규모 APT캠페인의 초기 단계를 구성하고 있는 요소였음을 추정할 수 있습니다. 

확인된 악성코드 및 악성URL 정보는 다음과 같습니다.

File Name	Time Stamp (KST)	MD5
javaupdatemain.tmp	2019-07-29 16:08:01	9758efcf96343d0ef83854860195c4b4
javaupdate.tmp	2004-03-15 15:15:13	e6037a8487b85118532184d397a6eedd
m.tmp	2018-02-04 03:47:11	8ba860e1340b29439ff5f6e3df98d537
nvgifx.exe	2019-07-08 11:19:12	f1af683eba25bb9cdf4fa88176fc6128

C&C 서버 정보

- 51.254.60[.]208

흥미로운 점은 한국에서 발생했던 다수의 APT 공격용 악성파일의 커스텀 암호화 로직과 유사성을 가지고 있어, 특정 정부의 후원을 받는 해킹 조직이 배후에 있을 것으로 보입니다.

[그림 2] 과거 한국에서 발견됐던 다수의 APT 공격코드 비교 화면

알약에서는 해당 악성코드에 대해  Trojan.Agent.75232 로 탐지하고 있으며, 관련 악성코드 및 악성URL 차단 및 추가대응을 위해 관계기관과 공조중에 있습니다.