상세 컨텐츠

본문 제목

n번방 이슈를 악용한 Konni 조직의 APT 공격 포착!

악성코드 분석 리포트

by 알약(Alyac) 2020. 6. 15. 17:56

본문




안녕하세요.

이스트시큐리티 ESRC(시큐리티대응센터)입니다.


‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다. 특히 이번 문서 파일은 본문 내용에 2020년 초 국내에서 큰 이슈가 되었던 악질적인 디지털 성범죄 이슈였던 'n번방' 관련 이슈를 다루고 있는 것이 특징입니다. (제목 : nth_room_event1.doc)


이번에 확인된 악성문서는 기존 공격방식과 유사하게 문서 실행 시 아래와 같이 매크로 실행을 유도합니다. 이전에 발견된 Konni 악성코드 문서와 동일하게 본문 내용 색깔이 흰색으로 작업되어 있는 것을 확인할 수 있습니다.


[그림 1] nth_room_event1.doc 실행 화면



매크로 기능은 %userprofile% 경로에 ‘ok.exe’ 파일 드롭과 본문 글자 색깔을 검은색으로 변경하는 기능을 수행합니다. 해당 매크로 코드는 아래와 같습니다.



[그림 2] 매크로 코드 일부



매크로가 실행되면 사용자는 정상적으로 본문 내용을 열람할 수 있게 됩니다. 

본문 내용에는 2020년 초에 국내를 떠들썩하게 만들었던 악질적인 디지털 성범죄 이슈였던 'n번방'에 대한 내용이 영어로 작성되어 있습니다.



[그림 3] 악성 매크로 실행 뒤 확인 가능한 본문 내용 



악성 문서 내에 존재하는 매크로를 통해 실행되는 ok.exe는 ‘hxxp://27.255.77[.]110/xvoa/1.php’에서 추가 페이로드를 다운로드하고, 임시폴더(%TEMP%) 하위에 ‘xtemp.php’으로 저장합니다. 다운로드에 성공한 경우 페이로드를 Custom Base64 키를 사용해 디코딩한 뒤, ‘xtemp.cab’로 저장하게 됩니다.



[그림 4] 페이로드 디코딩 및 ‘install.bat’ 실행 코드



아래는 이번 악성코드에서 디코딩 목적으로 사용된 Custom Base64 Key입니다. 


Custom Base64 Key : 

m8liYuHAb2-U7=dDgyvF9Rf3QjkJMXoPSwZE!0cBr461zpOTn5KGxICqLWhesNatV


디코딩 이후, ‘install.bat’를 실행하도록 되어 있지만, 분석한 시점에는 ‘xtemp.cab’ 파일에 install.bat이 존재하지 않아, csiss.exe 악성코드가 정상적으로 실행되지 않는 것으로 확인됩니다.



[그림 5] ‘xtemp.cab’ 파일 내부



csiss.exe 악성코드는 감염PC 정보 전송 및 명령 제어 기능을 수행합니다.



1) 자동 실행 등록

%USERPROFILE% 경로에 ‘csiss.exe’ 파일을 실행하는 스크립트 기능의 ‘Quick.vbs’ 파일을 드롭합니다. 이후, 자동 실행 레지스트리에 ‘Windows Script Host Service’ 이름으로 자기 자신을 등록합니다.



[그림 6] 자동 실행 등록 코드



2) 정보 전송

감염 PC의 시스템 정보, 현재 실행 중인 프로세스 정보를 C&C서버(27.255.77[.]110/xvoa/u.php)로 전송합니다.



[그림 7] 감염PC 정보 수집 및 전송 코드



3) 명령 제어

정보 전송 이후, 공격자의 명령(27.255.77[.]110/xvoa/d.php)에 따라 현재 시간 전송, cmd 명령어 실행, 악성코드 다운로더 기능이 실행될 수 있습니다.



[그림 8] 명령 제어 코드



Konni 조직은 위에서 언급한 'n번방' 이슈 외에도 추가적으로 '비트코인' 관련(제목 : 2020년 5월 비트코인 생산 반감,비트코인 가격 40배 급등할것으로 전망) 문서 내용으로도 유포를 진행한 것으로 확인됩니다.



[그림 9] 비트코인 관련 주제를 언급한 악성 문서 화면





코니(Konni) 조직은 국내 대북 관계자 및 암호화폐 관계자를 대상으로 APT 공격을 수년간 지속적으로 시도중이며 최근에는 코로나19 바이러스가 이슈인 것을 활용하여 공격을 진행하는 등 사회적 관심을 모으고 있는 이슈를 공격의 소재로 적극 활용하고 있습니다. 


현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen / Trojan.Agent.43008K 으로 탐지/차단하고 있습니다.


Konni 조직은 지난 2019년에 이어 2020년에도 지속적으로 공격을 시도하고 있으며, ESRC는 이들에 대한 공격을 지속적으로 추적 및 분석을 진행하고 있습니다. 


ESRC에서는 Konni 조직에 대한 분석보고서를 위와 같이 수 차례 리포팅한 바 있으며, 쓰렛인사이드(Threat Inside)를 통해 관련 인텔리전스 상세 리포트도 제공하고 있습니다. 



관련글 더보기

댓글 영역