라자루스(Lazarus), 사회공학적 기법으로 당신의 비트코인을 노린다!

■ 라자루스 위협은 현재 진행형

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.

지난 23일 금요일, 한국의 특정 암호화폐 거래소 가입회원 일부에게 스피어 피싱(Spear Phishing) 공격이 수행되었습니다.

ESRC에서는 이와 관련된 전반적인 자료를 수집 분석하였고, 위협 배후에 '라자루스(Lazarus)' 조직이 가담하고 있는 것으로 파악했습니다.

이번 공격 역시 지난 20일 공개했던 【라자루스(Lazarus), 소명자료요구서로 위장한 '무비 코인' 캠페인 지속】 공격벡터의 연장선이며, 지속적인 공격이 수행되고 있다는 것을 알 수 있습니다.

'무비 코인' 캠페인은 한국의 비트코인 거래자들을 집중 겨냥하고 있으며, HWP 취약점을 주무기로 쓰고 있습니다.

[그림 1] 실제 공격에 사용된 이메일 화면

공격에 사용된 이메일 화면을 살펴보면, '100년 이후 100년의 꿈 인삿말.hwp' 파일을 첨부하였으며, 본문에는 간단히 '인삿말 보내드립니다.'라는 표현만 존재합니다.

과거 사례를 비추어보면, 라자루스 위협 배후는 수신자와 전혀 관련없는 주제와 내용으로 이용자를 현혹하고 있는 특징이 있고, 불규칙 사회공학적 기법의 하나로 볼 수 있습니다.

■ 사이버 간첩행위(Cyber Espionage)와 비트코인을 노린 APT 공격

이메일에 첨부되어 있던 '100년 이후 100년의 꿈 인삿말.hwp' 악성 문서 파일은 공격이 수행되기 3일 전인 20일에 제작이 된 것으로 분석되었습니다.

파일명	마지막 저장 계정	MD5
100년 이후 100년의 꿈 인삿말.hwp	USER	e43fb78165dad0e2e18de1ae304399b7

[그림 2] HWP 문서파일의 시간 정보

해당 악성 문서파일은 기존 '무비 코인' 캠페인과 동일하게 문서를 마지막으로 수정한 계정명이 'USER'로 동일합니다.

그리고 'BinData' 스트림에 'BIN0001.PS' 악성 포스트스크립트(PostScript) 코드가 포함되어 있습니다.

[그림 3] HWP 문서에 포함되어 있는 악성 포스트스크립트 화면

포스트스크립트 하단에는 다음과 같이 16바이트로 구성된 디코딩 키<0AF6D9AA7E1D1DF68D538FA4BD59FD13>가 포함되어 있으며, XOR 연산을 수행하게 됩니다.

def 0 1 Y101 length 1 sub {/Y18 exch def Y101 Y101 Y18 get <0AF6D9AA7E1D1DF68D538FA4BD59FD13> Y18 15 and /Y104 8 def get xor Y18 exch put} for Y101 cvx exec

  

1차 디코딩 과정을 거치면, 내부에 포함되어 있는 2차 포스트스크립트와 쉘코드 루틴이 나타납니다.

[그림 4] 2차 포스트스크립트와 쉘코드 화면

쉘코드는 특정 로직을 통해 숨겨져 있던 명령제어(C2) 서버로 접속을 수행하고, 32비트/64비트 구분에 따라 추가 파일을 다운로드하고 로딩을 시도하게 됩니다.

[그림 5] 쉘코드에 의해 접속을 시도하는 C2 서버

- https://www.youdermoscopy[.]org/media/fly.avi (32bit) - https://www.youdermoscopy[.]org/media/fly312.avi (64bit)

'fly.avi', 'fly312.avi' 2개의 페이로드(Payload)는 확장자가 마치 동영상(AVI)처럼 보이지만, 실제로는 각각 32비트, 64비트 형식의 악성 DLL 파일입니다.

파일명	생성날짜 (UTC)	익스포트 함수명	MD5
fly.avi	2019-08-05 00:50:04	cat32.dll (CrashCheck)	9010355538d681a6224ee113ffc89f76
fly312.avi	2019-08-05 00:49:57	cat64.dll (CrashCheck)	89423ec34da7c2f78b80847def65d767

페이로드 파일은 원격지 C2 주소로 접속을 시도해, 추가 명령을 대기하게 됩니다. 일종의 봇(Bot) 기능을 수행하는 백도어 역할을 하게 됩니다.

- https://elsouq[.]org/aramex/left.php

- https://swedishmassageamsterdam[.]nl/wp-content/themes/top.php

- https://alnagm-press[.]com/wp-content/plugins/cloudflare/list.php

[그림 6] C2 문자열 화면

명령어	기능
0x38CE55	정보전송: 감염자 PC에서 디스크 드라이브 정보를 전송한다.
0x21279E	파일조작: C2에서 받은 파일명 파일의 끝에 데이터를 추가한다.
0x2AFCB2	정보전송: C2에 PC이름, 네트워크 정보, OS 버전을 전송한다.
0x48D6FC	프로그램 실행: C2에서 받은 파일명을 실행한다.
0x3B187D	대기: 지정된 시간만큼 Sleep으로 대기한다.

C2와 명령을 주고 받을 때 통신 데이터를 숨기기 위해 RC4 암호화 알고리즘을 사용하며, 키값은 0x271a16ab6d7a900ef3fa677dce8ab268 입니다.

[그림 7] RC4 암복호화 루틴

더불어 '무비 코인' 캠페인은 거의 동일한 쉘코드가 지속적으로 사용되고 있습니다. 지난 07월 23일 포스팅됐던 【전방위 '무비 코인' APT 작전을 수행하는 Lazarus 그룹 위협 증대】 공격에서 사용된 파일들도 동일한 쉘코드가 사용된 바 있습니다.

[그림 8] 유사 쉘코드 비교 화면

■ 결론

일명 라자루스로 알려진 APT 위협그룹의 활동이 6월부터 수개월간 지속적으로 포착되고 있습니다.

특히, 한국의 암호화폐 거래소 회원들을 겨냥해 집중적으로 공격을 수행하는 것으로 추정되어 각별한 주의가 필요해 보입니다.

주로 HWP 문서 파일 취약점을 활용하고 있으므로, 문서 소프트웨어는 반드시 최신버전으로 업데이트하여 사용하시길 당부드립니다.

또한, 알약(ALYac) 백신프로그램에 유사 변종에 대해 지속적으로 탐지/치료 기능을 추가하고 있으므로, 실시간 감시와 정기적인 검사를 생활화 해주시기 바랍니다.

보다 상세한 내용은 추후 '쓰렛 인사이드' 서비스를 통해 제공할 예정입니다.

▶ 라자루스(Lazarus), 소명자료요구서로 위장한 '무비 코인' 캠페인 지속 (2019. 08. 20)

▶ 전방위 '무비 코인' APT 작전을 수행하는 Lazarus 그룹 위협 증대 (2019. 07. 23)

▶ 암호화폐 거래소 회원 겨냥한 무비코인 작전 지속… 배후에 ‘라자루스’ 조직 (2019. 07. 19)

▶ 라자루스(Lazarus) APT 그룹, 신상명세서 문서로 위장한 공격 수행 (2019. 07. 15)

▶ 라자루스, 시스템 포팅 명세서 사칭한 APT작전 '무비 코인' 으로 재등장 (2019. 07. 12)

▶ 암호화폐 거래자를 노린 Lazarus APT 공격 가속화 (2019. 07. 02)

▶ 라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전 (2019. 06. 20)