포스팅 내용

악성코드 분석 리포트

'북한 내 코로나19 상황 인터뷰' 문건으로 사칭한 김수키 APT 공격 주의!



안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


미국 내 북한 문제 전문가 포럼인 ‘전미북한위원회(NCNK)’의 코로나19 바이러스 관련 인터뷰 문서로 사칭한 악성 파일이 국내에서 발견되어 각별한 주의가 필요합니다.



[그림 1] 전미북한위원회(NCNK) 코로나19 바이러스 인터뷰 위장 문서 내용



악성 DOC 파일은 ‘My Interview on COVID-19 with NCNK.doc’ 이름으로 발견되었으며 지난 05월 26일 제작된 것으로 확인되었습니다. 


ESRC에서는 해당 공격은 특정 정부가 연계된 것으로 알려진 일명 ‘김수키(Kimsuky)’ 조직이 사용한 APT(지능형지속위협) 공격 기법과 속성이 동일한 것으로 확인했으며 기존에 보고된 바 있는 ‘스모크 스크린(Smoke Screen)’ 위협 캠페인의 연장선으로 분석하였습니다.



최근의 악성 문서는 이메일에 첨부해 전달하는 스피어피싱 수법이 주로 활용되는데, DOC 문서의 경우 자체 취약점이 아닌 정상적인 매크로 기능을 악용하는 경우가 많습니다. 


공격자는 실제 NCNK(THE NATIONAL COMMITTEE ON NORTH KOREA) 공식 홈페이지에 등록된 내용을 무단 도용해 사용했으며 북한 내 코로나19 바이러스 상황과 국제 NGO 단체의 지원 여부 내용 등을 담아 이용자를 현혹한 것이 특징입니다. 


한편 악성 매크로 실행을 위해선 반드시 보안 경고 창의 콘텐츠 사용을 직접 허용해야 하므로 첫 화면에 마치 보호된 MS 워드 영문 문서 화면처럼 위장해 이용자의 클릭을 유도했습니다.



[그림 2] 보호된 문서처럼 위장해 악성 매크로를 실행하도록 유도하는 모습



만약 이용자가 콘텐츠 사용 버튼을 클릭해 악성 매크로를 실행할 경우 해커가 지정한 서버로 접속해 추가 명령을 수행하고 작업 스케줄러에 OneDrive 이름으로 악성 트리거를 등록해 3분마다 무한 반복으로 한국 소재의 특정 교육원 서버로 접속을 시도합니다. 


해당 명령 제어(C2) 서버와 정상적 통신이 이뤄지면 김수키 조직의 대표적인 스모크 스크린 캠페인과 동일한 단계별 PHP 명령을 수행하게 됩니다.


C2 서버의 명령을 통해 감염된 컴퓨터의 각종 정보가 은밀히 유출되고 작업 스케줄러에 예약된 기능이 마치 파일리스(Fileless) 기법처럼 작동해 그만큼 감염 여부를 신속히 탐지하거나 위협을 식별하는데 다소 어려울 수 있습니다. 


과거 스모크 스크린 캠페인의 유사 사례를 관찰해 봤을 때 공격자는 좀비 PC를 선별해 원격제어(RAT) 등의 악성 파일을 추가로 설치한 수 있는데, 이는 결국 기업이나 기관 내부에서의 다양한 추가 피해로 이어질 수 있습니다. 

최근 이와 유사한 위협 사례가 외교 안보 및 대북 분야 종사자를 겨냥한 정황 등으로 꾸준히 포착되고 있어 관계자들의 각별한 주의가 필요합니다.


김수키 조직은 수년간 한국을 상대로 APT 공격을 수행할 때 주로 HWP 문서 취약점을 널리 사용했는데 최근에는 DOC 악성 문서 파일도 공격에 적극적으로 활용하고 있다. 


만약 이메일이나 SNS 메신저 등으로 전달받은 HWP / DOC 문서를 오픈할 때 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우, 무심코 콘텐츠 사용을 허용해서는 절대 안 됩니다.


또한 대북 분야에서 활동하는 여러 인사들이 김수키 조직의 주요 APT 위협 대상이며 특히 코로나19 바이러스 정국을 공격 키워드로 현혹하는 점도 명심해야 합니다. 


또한, 유사한 위협에 노출되지 않도록 보안 수칙을 반드시 준수하고 평소 문서 파일 접근 시 각별한 주의가 요구됩니다. 


현재 백신 프로그램 알약(ALYac)에서는 이번 악성코드를 탐지명 ‘Trojan.Downloader.DOC.Gen‘으로 차단 및 치료하고 있습니다.


티스토리 방명록 작성
name password homepage