악성코드 분석 리포트

김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생

알약(Alyac) 2019. 5. 28. 14:06



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.


2019년 05월 28일 한국의 유명 암호화폐 거래소의 이벤트 경품 수령 안내로 사칭한 APT 공격이 포착되었습니다. ESRC는 이 공격의 배후에 이른바 김수키(Kimsuky) 조직이 있는 것으로 확신하고 있습니다.


최근 비트코인이 원화로 약 1,000만원 선을 돌파했습니다. 이런 가운데 특정 정부의 지원을 받는 위협조직들의 활동이 증가하고 있어 각별한 주의가 요망됩니다.


아래 화면은 실제 공격에 사용된 이메일의 화면 중 일부로, 특정 암호화폐 거래소에서 발송한 것처럼 교묘하게 위장하고 있습니다. 이들 공격조직은 얼마전까지 한국의 통일부를 사칭해 APT 공격을 수행하고 있었습니다.


이메일 제목은 '[안내]업비트 보디엑스(VDX) 상장 이벤트 경품 수령을 위한 제세공과금 납부 처리 정보 안내'로 표기되어 있습니다.



[그림 1] APT 공격에 사용된 스피어 피싱 이메일 화면



공격벡터로 사용된 스피어 피싱 이메일은 발신지가 마치 한국의 유명 암호화폐 거래소가 보낸 것처럼 조작되어 있습니다.


하지만, 해당 이메일이 발신된 곳은 해외 호스팅 서버로 공격자가 발신지를 임의로 변경한 것입니다.


공격에 사용된 이메일에는 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 이름의 악성 문서 파일이 첨부되어 있습니다.


악성 문서파일에는 암호가 설정되어 있으며, 암호가 정상적으로 입력되면 다음과 같은 안내서 화면을 보여주어 이용자로 하여금 마치 정상적인 문서로 착각하게 만듭니다.



[그림 1-1] 악성 문서가 실행된 후 보여지는 화면



이 악성 문서 파일은 '김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시' 게시글을 통해 공개했던 기법과 일치합니다.


HWP 문서 포맷 내부에는 'BIN0001.eps' 포스트 스크립트 파일이 포함되어 있고, 암호 설정 기능이 적용되어 있습니다.



[그림 2] HWP 문서 내부 스트림 화면



'BIN0001.eps' 포스트 스크립트 파일내부에는 쉘코드와 인코딩된 EXE 파일이 포함되어 있으며, 취약점 코드가 정상적으로 작동하면 디코딩 과정을 거치게 됩니다.



[그림 3] EPS 내부 코드 화면



포스트 스크립트에 포함되어 있는 쉘코드는 특정 오프셋 위치부터 디코딩을 수행하게 됩니다.



[그림 4] 디코딩 코드 위치 화면



이렇게 디코딩 루틴 명령이 수행되면 특정 명령제어(C2) 서버로 접속해 추가 악성파일을 다운로드하게 됩니다.



[그림 5] C2 서버로 통신하는 명령어



- http://hellojames.sportsontheweb.net/post/download[.]php

- http://hellojames.sportsontheweb.net/post/post[.]php



ESRC는 통신시 사용하는 폼 데이터가 기존 김수키 조직이 사용한 것과 정확히 일치하는 것을 확인했습니다.



- WebKitFormBoundarywhpFxMBe19cSjFnG



[그림 6] 명령에 사용하는 문자열 코드



추가 파일은 XOR 0xFF 코드로 암호화되어 있으며, VMProtect 프로그램으로 패킹이 되어 있습니다.


최종 바이너리는 한국의 특정 한메일 계정으로 감염자 정보를 전송하게 되며, 공격자의 의도에 따라 다양한 피해로 이어질 수 있습니다.


ESRC에서는 이번 공격과 관련된 추가 침해지표(IoC)와 인텔리전스 분석자료 등을 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 별도로 제공할 예정입니다. 


알약에서는 해당 악성코드들에 대한 긴급 업데이트를 완료한 상태이며, 'Exploit.HWP.Agent', 'Trojan.Agent.61400dat', 'Trojan.Agent.552960B' 등으로 탐지 및 치료가 가능한 상태입니다.



  2018-02-12 

 오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형

 2018-05-28

 판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Onezero)' APT 공격 분석

 2018-11-27

 안보·외교·통일 관련 분야를 겨냥한 APT 공격, '작전명 블랙 리무진' 주의

 2019-01-03

 2019년 북한 신년사 평가로 위장한 오퍼레이션 엔케이 뉴이어 APT 등장

 2019-01-07

 통일부 기자단을 상대로 한 APT공격, '오퍼레이션 코브라 베놈(Cobra Venom)' 주의

 2019-02-21

 2차 북미정상회담 좌담회 초청으로 수행된 최신 APT 공격, 작전명 라운드 테이블

 2019-04-03

 김수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침묵 작전

 2019-04-17

 한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개

 2019-05-13

 암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2

  2019-05-20 

 김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시