‘통일외교안보특보 발표문건’ 사칭 APT 공격… 김수키(Kimsuky) 조직 소행

안녕하세요 ESRC 입니다. 

최근 통일외교안보특보 세미나 발표문서처럼 사칭해 특정 관계자 정보를 노린 스피어 피싱(Spear Phishing) 공격이 발견돼 관련 업계 종사자의 각별한 주의가 필요합니다. 

이번 공격에 사용된 악성 DOC 문서는 지난 6일(현지시간) 미 워싱턴 DC 국익연구소의 2020년 대북 전망 세미나 관련 질의응답 내용 등을 담고 있습니다. 

이스트시큐리티는 2019년 4월, 처음 한ㆍ미를 겨냥한 APT 공격을 발견하였고, 이 공격을 '스모크 스크린(Smoke Screen)'캠페인이라 명명하였습니다. 

스모크 스크린(Smoke Screen) 캠페인

스피어피싱 방식으로 특정 공격타겟에게만 은밀히 악성 파일(.hwp 혹은 doc)이 첨부된 이메일을 발송한다.

외형적으로 정치, 대북 관련 키워드의 문서로 사용자들의 클릭을 유도하고, 기술적으로는 문서파일의 취약점, 매크로 방식을 사용하여 hta 파일 다운로드 및 실행하여 감염된 컴퓨터 오피스 보안설정을 변경하고, 감염자 정보를 수집하는 등의 기능을 포함하고 있다. 

이스트시큐리티가 스모크 스크린 공격을 공개한 이후에도 대남, 대미 사이버 공격 시도는 지속적으로 발견되었습니다. 

※ 스모크 스크린 캠페인 관련글

▶ 북한 파일명으로 보고된 Kimsuky 조직의 '스모크 스크린' PART 3 (19.09.27)

▶ 암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2 (19.05.13)

▶ 한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (19.04.17)

그리고 최근, 2020년 1월 13일, [문정인 대통령 통일외교안보특보 미국 국익센터 세미나]라는 제목의 문서파일이 최근 발견되었습니다. 

[그림1] 악성매크로가 포함된 문서파일

사용자가 악성 문서파일을 실행하면, 사용자에게 [콘텐츠 사용] 버튼 클릭을 유도해 악성 매크로가 실행되도록 합니다.  

[그림2] 악성 문서파일 본문

만약 사용자가 [콘텐츠 사용] 버튼을 클릭하면, 매크로 코드가 실행되면서 문서파일 원문을 보여주기 위하여 배경을 흰색으로 처리하고 C&C 접속을 통해 악성 .hta 파일을 실행합니다.

[그림3] ‘Document Created in earlier version of Microsoft Word’ 파란색 이미지를 흰색으로 변경 후 원문 노출

[그림4]  워드 파일에 포함된 매크로 코드

악성 .hta에서 실행되는 .php는 다음과 같은 기능을 수행합니다. 

1) MS office 각 버전의 매크로 세팅을 수정하여 매크로 공격에 취약하게 합니다.

2) 아래의 감염자 정보를 수집합니다.

- 사용자의 이름

- 호스트 네임

- 네트워크 속성

- 사용자 계정 정보

- %programfiles% 아래 목록 

- %programfiles% (x86) 아래 목록 

- %programdata%\Microsoft\Windows\Start Menu 아래 목록

- %programdata%\Microsoft\Windows\Start Menu\Programs 아래 목록 

- %appdata%\Microsoft\Windows\Recent 아래 목록

- 현재 실행중인 프로세스 목록 

- 윈도우 버전

- 윈도우 환경 변수 목록

- HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default 아래 목록

- arp 목록

- %appdata%\Microsoft 아래 목록

- %systemroot%\SysWOW64\WindowsPowerShell\ 아래 목록

- 드라이브(c: d: e: f: g: h: i: j: k: l: m: n: o: p: q: r: s: t: u: v: w: x: y: z:) 의 볼륨 정보

- %userprofile%\Downlocds 아래 목록 (오타 존재)

- %userprofile%\Documents 아래 목록 (오타 존재)

- 엑셀과 워드의 14.0~16.0 의 Security 버전 (오타 존재)

- 아웃룩 Autodiscover URL (오타 존재)

- 아웃룩 프로필 목록 (오타 존재)

수집된 정보는 ‘%appdata%\Windows\desktop.ini’ 경로에 저장합니다. 

[그림5] 사용자 PC에서 수집된 정보들

3) 추가 악성 hta 파일 실행을 위해 작업 스케줄러에 등록을 시도하나, 오타로 인해 정상동작하지 않습니다.

[그림6] 작업 스케줄러 등록 시도하는 .hta 파일

.hta 파일이 최종적으로 내려받는 .php 파일은 많은 오타가 존재하여, 다수의 기능들이 정상적으로 동작하지 않습니다. 

[그림7] .php 파일 내 오타

결론

ESRC는 '스모크 스크린' 캠페인의 배후에 정부 후원을 받고 있는 APT 공격그룹이 있다고 확신하고 있습니다.

이들은 수년간 한국의 주요 기관 및 기업을 대상으로 APT 공격을 수행하고 있을 뿐만 아니라, 미국내 북한분야 연구 조직에 대한 공격도 수행하는 등 갈수록 대담해지고 있습니다.

국가 차원의 사이버 첩보전이 치열해지고 있는 상황에서, 공격 그룹에 대한 다양한 정보 수집과 인텔리전스 협력을 통해 보다 신속한 대응안이 필요합니다.

유사 위협에 사용된 도구와 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트를 통해 별도로 제공할 예정입니다.