Home > 전체기사
홀리데이 와이퍼로 귀환한 금성 121의 로켓맨 APT 캠페인
  |  입력 : 2019-01-23 16:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2019년 1월 18일 ‘작전명 홀리데이 와이퍼’ 발견...2018년 8월 작전명 ‘로켓 맨’ 변종 추정
ESRC, 치밀하게 준비된 APT 공격으로 정의...KISA와 협조하며 대응


[보안뉴스 원병철 기자] 약 10일 앞으로 다가온 설 연휴를 노린 심리기반 스피어피싱(Spear Phishing) 공격이 발견돼 사용자들의 주의를 주고 있다. 특히 이번 공격은 치밀하게 준비된 작전으로 보이며, 2018년 8월 <보안뉴스>가 보도했던 ‘작전명 로켓 맨’ 공격의 변종으로 분석됐다.

[이미지=iclickart]


이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터(이하 ESRC)는 2019년 1월 18일 제작된 새로운 로켓맨 캠페인 변종을 발견했다고 밝혔다. 이 공격은 작전명 로켓 맨 공격의 HWP 문서 파일 취약점 대신 MS Office XLS 문서파일 취약점을 악용했다. 악성파일은 ‘홍삼6품단가 .xlsx’이란 파일명으로, 곧 다가오는 한국의 설연휴 시즌을 사회공학적 기법과 교묘히 결합해 심리기반 스피어피싱(Spear Phishing) 공격에 활용될 것으로 보인다.

▲로켓맨 작전에서 사용된 HWP 문서파일에 등록된 HighExpert[자료=ESRC]


흥미로운 점은 기존 HWP 문서파일에서 발견됐던 ‘HighExpert’ 계정이 이번 공격에도 동일하게 사용되었다는 점이며, 추가로 생성되는 악성 EXE 파일도 예전 공격에 이용된 것과 마찬가지로 한국의 N 포털사 보안 프로그램 아이콘으로 위장하고 있다.

2018년 당시 ‘로켓맨’ APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행됐다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했다. APT 공격에 사용된 '통지.HWP' 취약점 파일에는 제작자와 마지막 수정자 모두 ‘HighExpert’ 계정이 사용됐다. ESRC에서는 해당 위협 조직을 특정 정부가 지원하는 국가차원의 해킹그룹으로 분류했고, ‘금성121(Geumseong121)’로 칭했었다.

이번 악성 문서의 만든 이는 ‘RKS’로 지정되어 있고, 마지막으로 수정한 사람에 ‘HighExpert’ 아이디가 포함되어 있다. ESRC는 이번 공격에 활용된 코드 중에 설연휴 선물 시즌과 시스템을 파괴하는 기능의 파일명 등을 조합해 ‘작전명 홀리데이 와이퍼(Operation Holiday Wiper)’로 이름 지었다.

▲HighExpert 계정이 포함된 화면[자료=ESRC]


‘홍삼6품단가 .xlsx’ 문서파일은 실행할 경우 다음과 같이 홍삼 제품관련 단가 리스트가 보이며, 일부 문자가 깨져있다. 그리고 본문 하단에는 ‘글자가 깨여지면 위에 있는 콘텐츠허용 버튼을 눌러보세요.’라는 빨간색 글자로 [콘텐츠 사용] 버튼 클릭을 유도하고 있다.

▲악성문서 ‘홍삼6품단가 .xlsx’ 파일이 실행된 화면[자료=ESRC]


여기서 사용된 문구 중에 ‘깨여지면’이라는 단어는 사실 한국적 표현(깨지면)보다는 북한에서 사용하는 표현에 가깝다. 아래는 실제 북한에서 사용 중인 표현 방식 중 일부다.

▲북한에서 사용 중인 표현 방식[자료=ESRC]


코드기반 공격 벡터 분석
스피어피싱 해킹 메일을 수신한 사람이 만약 해당 파일을 다운로드해, [콘텐츠 사용] 버튼을 누르게 되면, MS 오피스 버전과 설정에 따라 다음과 같이 보안 경고 창이 나타나기도 한다. 이때 만약 [예(Y)] 버튼을 누르게 되면 악의적인 매크로 코드가 작동하게 된다.

보안상 취약한 코드가 작동을 하게 되면, XLS 내부에 포함되어 있는 익스터널 링크 코드가 작동하고, 그 다음에 파워쉘 임포트 모듈 명령을 통해 한국의 의료관련 특정 웹 사이트로 접속해 추가 악성파일을 다운로드하고 실행한다. 다운로드될 때 악성코드는 %temp% 폴더 경로에 ‘aqq.exe’란 파일명으로 생성된다.

▲악성 파워쉘 명령을 통한 추가 페이로드 다운로드 코드 화면[자료=ESRC]


임시폴더 경로에 생성된 파일은 기존 ‘로켓맨 작전’에서 사용된 것과 동일하게 한국의 포털 사 보안 프로그램 아이콘으로 위장한 것이 특징이다.

▲악성코드가 사용한 아이콘과 한국 포털사 보안 프로그램의 이미지 비교[자료=ESRC]


한국의 유명 포털사 보안프로그램 아이콘으로 위장한 악성코드는 2019년 1월 17일 오후 3시 41분 경 제작됐으며, 해킹된 것으로 추정되는 한국의 의료관련 웹 사이트(C2)와 통신을 시도한다. 추가 통신과 명령이 정상적으로 수행되면 ‘U3.conf’, ‘U4.conf’, ‘defaults.conf’ 파일 등이 추가로 다운로드 된다.

이번 공격에 사용된 악성코드 내부에서도 기존과 동일하게 ‘Rocket’ 경로가 발견됐다.

▲Rocket PDB가 포함되어 있는 화면[자료=ESRC]


- E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debuget35\Pubnub.pdb

‘U.conf’ 파일이 메인 숙주이며, 이 파일은 2019년 1월 17일 수정이 된 것을 알 수 있습니다. 이 파일에 의해서 추가 파일이 다운로드되는 과정을 거친다.

▲악성코드가 다운로드되는 패킷 화면[자료=ESRC]


추가로 다운로드되는 파일들은 기존 로켓맨 공격과 유사하게 닷넷 기반으로 프로그래밍된 악성코드가 사용됐으며, 이 코드들은 2018년 12월 11일 제작된 것으로 분석됐다.

공격자는 이번에도 해킹된 특정 웹 사이트에 암호화된 통신 명령 파일을 등록해 두었고, 서비스로서의 인프라스트럭처(Infrastructure as a Service)의 하나인 퍼브너브(PubNub) 채널로 명령제어(C2)통신을 시도한다.

암호화된 코드를 복호화하면 다음과 같이 PubNub 사이트로 통신하는 코드가 확인된다.

ps.pndsn.compeihesub-c-66d9ea22-fb4a-11e8-b809-8ee1f208b3b7pub-c-9eca65af-bfd9-4759-8dbe-bedf6b710673sec-c-N2YyZmZlYzQtOWI2MS00NjU2LWI0ZTktMzU0MTMzZGE1ZDhmcip-c-yougotthekeyplease9738

공격자 명령에 따라 파일 삭제 등 시스템 파괴(Wiper) 명령 수행
공격자는 PubNub 사이트를 통해 감염된 시스템 중 조건에 따라 폴더와 파일을 삭제하는 기능의 추가 명령을 내리기도 한다. 따라서 공격자가 지정한 시스템의 경우 주요 데이터가 파괴되는 피해를 입을 수도 있다.

▲폴더와 파일 삭제 기능 코드 화면[ESRC]


ESRC는 이번 APT 공격이 치밀하게 준비된 공격 중에 하나로 보고 있으며, 한국인터넷진흥원(KISA) 등과 긴밀하게 협조하고 있다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향