악성코드 분석 리포트

핵 이슈를 다루는 학술 연구재단을 사칭한 Konni 조직의 새로운 APT 공격

알약(Alyac) 2020. 5. 27. 08:45




안녕하세요.

이스트시큐리티 ESRC(시큐리티대응센터)입니다.


‘Konni’ 조직의 APT 공격 방식과 매우 유사한 특징을 가진 문서 파일이 포착되었습니다.



* 코니(Konni) APT 조직


2014년부터 지금까지 꾸준히 활동을 하고 있는 특정 정부의 지원을 받는 APT 조직으로, 스피어피싱 공격 방식을 사용하며 주로 북한과 관련된 내용이나 현재 사회적으로 화두가 되고 있는 이슈들로 사용자들의 메일 열람 / 첨부파일 실행을 유도합니다. 


2019년 6월, 이스트시큐리티는 코니(Konni)조직을 추적하는 과정 중 김수키(Kimsuky)조직과 관련된 몇가지 의심스러운 정황들을 포착하였으며, 코니와 김수키 조직이 특별한 관계에 있을 것으로 추측하고 있습니다. 



이번에 발견된 공격은 스탠포드(Stanford) 대학교 국제 안보 협력센터인 CISAC(Center for International Security and Cooperation)이 작성한 문서로 위장하고 있으며, CISAC Discussions on Cyber and Nuclear Issues_May 13 2020_v4_ENG 라는 타이틀의 문서를 유포하고 있습니다.


CISAC은 국제 평화 및 안보, 인권, 핵(Nuclear) 이슈와 관련한 국제 협력 문제를 다루는 학술적, 정책적 관련 연구를 수행하는 연구원들을 위한 기관으로 최근엔 주로 핵 이슈를 프로젝트로 다양한 연구를 진행해 왔습니다. 


Konni 조직은 이러한 연구자들 혹은 관련 분야 종사자를 대상으로 스피어 피싱 공격을 시도한 것으로 추정됩니다.



 문서 제목 

 CISAC Discussions on Cyber and Nuclear Issues_May 13 2020_v4_ENG

 문서 생성일

 2020-05-21 08:17:00

 문서 작성자

 Linton Brooks

 문서 최종 수정자

 Ksenia

 코드 페이지 

 한국어

[표 1] 악성 문서 파일의 속성



악성 문서 파일은 최초 열람 시 글씨가 잘 안보이게 작업되어 있으며, 이는 기본 차단된 매크로 기능을 사용자로 하여금 허용하도록 하기 위한 것으로 보입니다.



[그림 1] 악성 문서 파일 최초 실행 화면 



이것은 사용자로 하여금 매크로를 활성화하도록 유도하는데 유용할 것으로 보이며, 매크로의 악성행위가 끝나면 글씨 색상을 변경하고 잘 보이게 하여 사용자의 의심을 덜게 합니다. 이 방식은 특별한 방식이라고 보기는 어렵지만 'Konni' 공격 조직에서 지속적으로 활용하고 있는 공격 방식입니다.


악성문서 내 포함된 악성 매크로는 Document_Open을 사용하여 문서가 열리면 자동으로 실행되도록 구성되어 있으며 내장되어 있는 인코딩된 악성 실행파일을 0xFF로 xor하여 cmd를 통해 실행하고 추가로 악성 파일을 다운로드합니다.

 


[그림 2] 악성 매크로의 시작 화면



[그림 3] 악성 매크로의 실행파일 디코딩 화면



악성 행위가 끝나면 글씨 색을 기존 옅은 회색에서 검정색으로 바꾸어 문서 내용이 잘 보이게 합니다.

 


[그림 4] 악성 문서 파일의 본문 내용



생성된 zx.exe 파일은 인코딩된 C2를 인자로 실행하며, 감염자의 시스템에 따라 추가 파일을 다운로드 및 실행합니다.



 File Name 

 zx.exe

 TimeStamp

 2020-05-21 오후 3:10

 Argument

 aJ4fJl8JFJJdJLbJpe4SJt8J-e42Jt6JN84QJt6J-D4fJLVJ-

 84YJt8Ja84SJtVJN84XJl9J-e47JteJa847Jt6JpD4EJtbJ-8Jz"

 Download URL 

 http://adobeevent.medianewsonline[.]com

[표 2] 드롭되는 zx.exe 파일 속성 정보



[그림 5] zx.exe 코드 화면



[그림 6] 64환경에서 3.dat 다운로드 시도



다운로드 받는 파일은 캐비넷(Cab)형태로 되어 있으며, cmd 내장 프로그램인 expand를 사용하여 압축을 해제하고 zx.bat 파일을 실행합니다.


이전 공격과 마찬가지로 base64의 디코딩에는 커스텀 키가 사용되었습니다.



J4LTIZtlqgwp9yA58ijM6hWxONa-FuHCDS2EkYRs0=3!Gc7oerUPfKQXV1dmbBvnz



다운로드된 3.dat 역시 커스텀키로 인코딩되어 있으며, 캐비넷(Cab) 파일로 최종 수정일은 5/21로 확인되며 아래와 같이 6개의 파일로 구성되어 있습니다. 

 


[그림 7] Cab 압축파일 내 파일 목록



파일의 실행 순서는 다음과 같습니다.



① zx.bat -> ② install.bat -> ③ xclientelv.dll -> ④ xclientsvc.dll



이러한 형태로 최종 페이로드인 xclientsvc.dll이 실행되면, 감염 시스템의 정보를 수집하여 공격자에게 전송하며 추가 악성 파일을 다운로드 및 실행할 수 있게 됩니다.



코니(Konni) 조직은 국내 대북 관계자 및 암호화폐 관계자를 대상으로 APT 공격을 수년간 지속적으로 시도중이며 최근에는 코로나19 바이러스가 이슈인 것을 활용하여 공격을 진행하는 등 사회적 관심을 모으고 있는 이슈를 공격의 소재로 적극 활용하고 있습니다. 





이번에 확인된 Konni 조직의 공격과 유사한 기법을 사용했던 기존 공격에 대한 보고서 목록은 다음과 같습니다.





특히 '북한 중앙위원회 전원회의', '2020년 동경 패럴림픽' 관련 문서로 위장한 코니(Konni) APT 그룹 공격에 활용된 페이로드와 이번에 확인된 페이로드는 정보를 수집하는 기능 등 거의 유사한 기능을 가지고 있으나 중간 단계에 UAC를 우회하는 모듈이 추가된 점이나 기존에 FTP를 사용하던 방식에서 web을 활용하는 방식으로 변경된 점이 차이점으로 확인됩니다.


현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen / Trojan.Agent.1228512N 으로 탐지/차단하고 있습니다.


Konni 조직은 지난 2019년에 이어 2020년에도 지속적으로 공격을 시도하고 있으며, ESRC는 이들에 대한 공격을 지속적으로 추적 및 분석을 진행하고 있습니다. 


ESRC에서는 Konni 조직에 대한 분석보고서를 위와 같이 수 차례 리포팅한 바 있으며, 쓰렛인사이드(Threat Inside)를 통해 관련 인텔리전스 상세 리포트도 제공하고 있습니다.