탈륨 조직, 개성공단 근무자 연구와 아태 연구 논문 투고로 사칭한 APT 공격 주의

---

◇ 탈륨(Thallium) 해킹 조직 위협 배경

---

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.

저희는 2020년 07월 25일 【미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조】라는 스페셜 리포트를 공개한 바 있습니다.

미국 현지 시점으로 지난 08월 26일 마이크로소프트(MS)사는 '탈륨' 해킹조직에 대해 피고인이 출정하지 않은 공석상태에서 진행하는 궐석재판을 요청하였고, 이들이 사용한 이메일 주소에 수차례 소환장을 보냈다고 밝혔습니다.

흥미롭게도 해당 이메일 중 일부는 MS 고소장 공개 이전 시점에 소개한 알약 블로그 분석내용의 계정과 정확히 일치합니다.

탈륨 이메일 주소	블로그 연관 정보
bitcoin024@hanmail.net  bitcoin025@hanmail.net	코니(Konni) APT 조직, 안드로이드 스파이 활동과 김수키 조직 유사성 분석 (2019. 08. 24)
rninchurl@daum.net	코니(Konni) APT 조직, 안드로이드 스파이 활동과 김수키 조직 유사성 분석 (2019. 08. 24)
tiger199392@daum.net	한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (2019. 04. 17)
tiger199392@daum.net	암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2 (2019. 05. 13)

[그림 1] MS사 궐석재판 요청서 내용 발췌

탈륨 그룹은 스페셜 리포트가 공개된 바로 다음 날인 07월 26일 일요일에도 사이버 첩보 활동이 포착될 정도로 위협 활성도가 매우 높은 상태입니다.

당시 스피어 피싱 공격의 이메일 제목은 '북한 핵 실험장 지역 인근 출신 탈북민 명단-1.hwp' 내용을 가지고 있었고, 본문에 구글 드라이브 링크를 넣어 문서열람을 유도하는 전형적인 사회공학적 기법을 활용했습니다.

[그림 2] 탈륨 조직의 스피어 피싱 공격 화면

그 이후에도 몇 건의 추가 공격 시도가 발견되었는데, 주로 언론단체의 취재기자들이 주요 공격 대상이라는 공통점이 확인되었습니다.

공격은 주로 회사의 공식 이메일 주소가 아닌 개인적으로 사용하는 국내 포털 회사의 무료 이메일 서비스를 노렸습니다.

08월 11일 보고된 사례는 이메일 서비스 보안팀이 계정 오류 확인 요청으로 보낸 공식 내용처럼 위장하고 있으며, 본인 확인을 유도하여 암호를 탈취시도하는 수법을 활용했습니다.

또, 08월 24일은 특정 클라우드 갤러리 사용 확인 내용처럼 위장해 클릭여부를 체크하는 정찰 활동도 포착되었습니다.

[그림 3] 이메일 계정 오류로 위장한 공격 화면

물론 위협 행위자(Threat Actor)들은 전통적인 클릭 유도 공격 뿐만 아니라, 악성 파일을 첨부해 실행을 유혹하는 투-트랙 전략전술을 동시에 구사합니다.

지난 08월 24일에는 '한반도 정세와 안보패러다임 전환'이라는 악성 문서 파일을 첨부해 언론사 기자를 상대로 공격이 수행된 바 있습니다. 더불어 WSF, JSE 등의 스크립트나 LNK 바로가기 기법을 동원 하기도 합니다.

또한, 주로 HWP, DOC 문서 파일기반 공격과 문서처럼 위장한 2중 확장자의 EXE 실행파일을 상황에 맞게 사용하는데, 실제로 08월 28일부터 09월 02일까지 다수의 공격 징후가 발견되었습니다.

최근 새로 탐지된 위협 사례는 개성공단 근무자 관계 연구 내용을 담은 문서와 아태지역 연구 논문 투고서류처럼 위장한 미끼 파일이 사용 되었습니다.

ESRC는 위협분석 중 일부 악성코드에 제작 실수로 보이는 점을 발견하였고, 위협 행위자는 이 부분을 감안해 다수의 변종을 제작한 것으로 추정됩니다.

 

---

◇ 개성공단 근무자 관계 연구로 사칭한 공격 사례 (제작실수 추정의 실패 버전)

---

'개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략' 제목을 가진 파일은 여러가지 형태가 발견되었습니다.

일부 형태는 추가 악성코드를 다운로드하는 명령제어(C2) 주소가 잘못 설정 되었으며, 더불어 악성파일 내부 리소스(JUYFON)에 숨겨둔 미끼 문서가 인코딩되어 있지 않아 디코딩 과정 중 역으로 손상되는 현상이 발생합니다.

만약에 악성파일 내부에 이런 문제가 존재하지 않을 경우 다음과 같은 정상 화면이 보여지면서, C2 서버로 접속해 추가로 암호화된 악성코드가 다운로드 되어 작동하는 위협 과정을 거치게 됩니다.

[그림 4] 악성코드 내부에 숨겨져 있는 정상 hwp 문서 파일 화면

위협 행위자가 사전 탐지나 테스트 목적 등의 의도로 비정상적인 코드를 작성 한 것인지 여부에 대해 추가적인 조사와 연구를 수행하고 있습니다.

해당 공격에 사용된 C2 주소들은 다음과 같습니다.

Domain	IP
portable.epizy[.]com	185.27.134[.]213
ramble.myartsonline[.]com	185.176.43[.]98

---

◇ 아시아 태평양 연구 논문 투고로 사칭한 공격 사례

---

ESRC는 탈륨 그룹의 위협행위를 추적하는 과정에서 코드가 거의 유사한 계열의 변종을 확보했습니다. 분석결과 기존과 동일한 C2를 사용하지만 Lure 문서가 다른 형태가 확인되었습니다.

해당 악성파일은 마치 MS Word 문서처럼 아이콘 리소스를 위장 하였지만, 한국어 기반으로 설정되어 있어 제작자는 한글 Windows 운영체제 환경임을 짐작할 수 있습니다.

그리고 제작 실수로 보이던 리소스(JUYFON) 부분도 인코딩된 코드로 수정되어 정상 작동 합니다. 아울러 'JUYFON' 리소스 명은 기존 7월 25일 【미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조】 스페셜 리포트에서 동일하게 언급된 바 있고, 당시 사용된 악성 파일명은 다음과 같습니다.

- [남북연합 구상과 추진방안] 워크숍 계획.hwp (다수의 공백 포함) .exe

- 0730 워크숍_2회의 발표문_이상신_오창룡.hwp (다수의 공백 포함) .exe

예전에는 HWP 이중 확장자를 사용했고, 이번에는 DOCX 확장자가 쓰였지만 전체적으로 사이버 전략 전술이 거의 흡사 하다는 점을 바로 알 수 있습니다.

[그림 5] 악성 파일 리소스 영역 화면

악성 파일은 리소스 데이터를 0x7F 키값을 이용해 디코딩을 하고, 'GetTempPathA' API 함수 명령을 통해 임시폴더 (Temp) 경로에 '4.[아태연구]논문투고규정.docx' 정상 문서를 생성하고 실행합니다.

[그림 6] 인코딩된 리소스 영역 디코딩 루틴 과정

그리고 감염된 컴퓨터에 존재하는 폴더 목록과 시스템 정보를 수집하여 환경변수 %appdata% 하위 'Microsoft\HNC'

경로에 wct.docx 파일로 저장합니다.

[그림 7] 폴더 리스트와 시스템 정보를 수집하는 명령어

수집된 정보는 '개성공단 근무 경험자가 인식한 북한 근로자의 특성과 그에 따른 관계형성 전략' 때와 동일한 'portable.epizy[.]com' C2 서버로 전송되고, 추가 악성 파일이 다운로드 시도 됩니다.

[그림 8] 명령제어(C2) 서버와 통신하는 명령어

C2 서버와 통신할 때 사용하는 문자열(------WebKitFormBoundarywhpFxMBe19cSjFnG)은 과거 탈륨 조직이 사용했던 것과 정확하게 일치하고 있습니다.

[그림 9] C2 서버와 통신할 때 사용하는 문자열

악성 파일이 실행되어 정상적으로 실행되면 '4.[아태연구]논문투고규정.docx' 문서 파일이 실행되어 보여지는데, 이 문서의 최종 수정자 계정은 'zhaozhongcheng' 입니다.

이 계정명 역시 【미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조】 스페셜 리포트와 동일하게 사용 되었고, 여러 침해 사고 흔적에서 반복 목격되고 있는 중요한 위협 단서 중에 하나 입니다.

[그림 10] 미끼 파일로 사용된 정상 논문 투고 규정 문서

C2 서버로 감염된 시스템 정보가 1차 유출된 후 공격자의 의도에 따라 추가 파일이 다운로드 시도 될 수 있습니다. 공격자는 탈취한 감염 로그를 기반으로 자신이 원하는 대상일 경우 추가 악성파일을 설치하는 2단계 위협 과정을 거칩니다.

ESRC는 '논문투고규정' 관련 문서를 사용한 APT 공격을 조사하는 과정에서 C2가 서로 상이한 2가지 형태를 발견했습니다.

특히, 'pingguo2.atwebpages[.]com' 도메인의 경우 【미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조】 스페셜 리포트에서 소개된 'pingguo5.atwebpages[.]com' 주소와 유사성이 높다는 것을 확인할 수 있습니다. 

Domain	IP
portable.epizy[.]com	185.27.134[.]213
pingguo2.atwebpages[.]com	185.176.43[.]98

이는 위협 활동이 보안 업체나 분석가 들에게 확인될 경우 추가 C2 체계가 노출되는 것을 최소화하기 위한 입체적 전략으로 예상됩니다.

보통 추가 공격에 사용된 파일은 위협 탐지를 회피하기 위해 XOR 논리 함수 0xFF 키로 파일을 암호화 하여 배포하고, 복호화된 후 실행됩니다.

복호화된 파일은 'Run time utility for Internet Explorer' 모듈인 'IeRtUtil.dll' 파일처럼 익스포트 함수를 위장하고 있습니다.

악성 DLL 파일은 VMProtect 프로그램으로 패킹되어 있고, 'BIN' 리소스에 저장된 추가 악성 모듈을 호출해 'svchost.exe' 정상 프로세스에 인젝션 합니다.

그리고 1차 정보 수집과 마찬가지로 시스템 정보를 수집해 탈취를 시도하고, 키보드 입력 정보 등을 수집해 특정 이메일 주소로 은밀하게 유출하는 키로깅 기능을 수행하기 때문에 각별한 주의가 필요합니다.

이때 사용된 위협 행위자의 마스터 이메일 계정은 'flower9801@daum.net' 주소로 보이고, 아주 오랜 기간 악용되고 있는 것으로 판단되어 신속한 조치가 요구됩니다.

ESRC는 탈륨 조직이 수행 중인 APT 캠페인을 보다 상세히 관찰 추적 중이며, 국가 사이버 안보차원의 수준으로 그 중요성을 높게 인식하고 있습니다.

특정 정부가 연계된 APT 조직들에 대한 위협이 어느때보다 고조되는 지금, 보다 체계화된 분석 및 대응이 요구되며, 민관 위협 인텔리전스 차원의 협력과 투자가 중요한 시점입니다.