북한 추정 공격그룹 ‘금성121’, ‘로켓맨 APT 캠페인 후속’으로 돌아오다

ESRC, 로켓맨 APT 캠페인 ‘오퍼레이션 골든 버드(Operation Golden Bird)’ 발표
한국 대북관련 분야에서 활동하는 인사들을 목표로 진행

[보안뉴스 원병철 기자] 북한 추정 사이버 공격그룹 금성 121이 2018년 8월과 2019년 1월 국내에서 진행했던 사이버공격, 일명 ‘로켓맨 캠페인’의 후속공격이 발견됐다. 특히 이번 캠페인은 주로 한국의 대북관련 분야에서 활동하는 인사들에게 집중된 것으로 보여 관계자들의 주의가 요구된다.

[이미지=ESRC]

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 2019년 3월 18일, 마치 이력서 원본을 보내는 것처럼 위장한 APT(지능형지속위협) 공격을 발견했다고 밝혔다. 이번 공격은 주로 한국의 대북관련 분야에 활동하는 인사들에게 집중적으로 진행됐다. 공격을 수행한 금성121(Geumseong121) 위협조직은 이메일에 악성 파일을 첨부해 발송하는 이른바 스피어 피싱(Spear Phishing) 공격기법을 활용했고, 암호화된 압축 파일을 사용해 1차 탐지회피를 계획한 나름 투트랙 피싱 전략을 구사했다고 ESRC는 밝혔다.

로켓맨(Rocket Man) 캠페인 재등장, ‘오퍼레이션 골든 버드(Operation Golden Bird)’
ESRC는 한국에서 발생한 최신 APT 공격을 추적하는 과정에서 ‘특정 정부의 후원을 받는 위협조직(State-Sponsored Cyber Actors)’이 이번 미션에도 관여된 것을 확인했고, 공격자가 사용한 일부 흔적에서 ‘Gold Letter Bird’ 문구를 발견했다고 밝혔다. 이에 이번 사이버 작전(OPSEC)을 ‘오퍼레이션 골든 버드(Operation Golden Bird)’로 이름 짓고, 베일에 싸여있는 위협 배후와 공격 기술에 대한 심층분석을 진행했다고 설명했다.

특히, 이번 스피어 피싱 공격은 지난 2019년 1월 23일에 공개했던 ‘홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인’ 미션의 연장선에 포함된 것으로 확인됐다. 로켓맨 APT 캠페인은 2018년 8월 처음 공개됐으며, 이후 유사한 작전이 계속 이어지고 있다는 점에서 유관 분야의 각별한 주의가 요망되고 있다.

금성121(Geumseong121)은 주로 한국의 외교·안보·통일·국방 분야나 대북단체, 탈북민 등을 상대로 갈수록 고도화된 첩보활동을 하고 있으며, 2014년 한국수력원자력 공격에 가담한 것으로 분류된 위협그룹 ‘김수키(Kimsuky)’ 조직과 직·간접적으로 활동 반경이 오버랩 되는 조직이다. 때문에 일각에서는 두 그룹이 하나의 조직이거나, 공격 미션과 대상이 동일한 것으로 의심하고 있다.

이번 공격을 살펴보면, 첫 번째 스테이지 공격에 사용할 ‘이력서.rar’ 이름의 암호화 압축 파일이 있으며, 그 내부에는 ‘조형곤이력서2019.hwp’, ‘desktop.scr’ 두개의 파일이 포함되어 있다.

▲‘이력서.rar’ 압축파일 내부화면[이미지=ESRC]

압축 파일 화면 기준으로 내부 파일들은 2019년 3월 17일 오후 시간대 정보를 가지고 있는데, 실제 해킹 공격은 그 다음 날인 18일 오후 수행됐다. 먼저 ‘조형곤이력서2019.hwp’ 문서파일은 다음과 같은 스트림 데이터를 포함하고 있다.

▲‘조형곤이력서2019.hwp’ 내부 스트림 구조화면[이미지=ESRC]

HWP 문서 파일의 내부 구조를 먼저 살펴보면, 특별히 EPS 포스트스크립트나 OLE 데이터가 포함되지 않은 것을 알 수 있다. 공격자는 HWP 문서 파일의 하이퍼링크 기능을 통해 외부 어플리케이션 문서 연결로 함께 포함된 ‘desktop.scr’ 악성코드가 실행되도록 구현했다.

▲하이퍼링크 기능을 통한 추가 악성 파일(desktop.scr) 실행 유도[이미지=ESRC]

위협 배후는 사이버 전략·전술적으로 이력서 내용처럼 위장한 악성 문서를 전송해 호기심을 유발하고, 공격 대상자로 하여금 문서내용을 열람하도록 유인한다. 실제 해당 문서 파일을 실행할 경우 특정인의 이력서 내용이 보이며, 일부 문구들에 밑줄이 포함된 하이퍼링크가 포함된 것을 확인할 수 있다. 무심코 해당 문서에 포함되어 있는 하이퍼링크 영역에 접근해 클릭할 경우, 마치 화면보호기(Screen Saver) 파일처럼 위장된, ‘desktop.scr’ 악성 코드가 연쇄적으로 실행된다.

위협 인텔리전스 기반 연관성 분석
이번 공격은 HWP 문서 파일의 하이퍼링크 설정을 통해 동일한 경로에 존재하는 또 다른 악성 파일을 실행하는 기법을 사용한다. 따라서 HWP 문서 자체만으로 독립적 악성 행위를 수행하기에 분명 한계가 존재하고, 반드시 추가 악성 파일을 함께 유포해야만 공격자가 원하는 다양한 명령을 수행할 수가 있다. 물론, 압축 해제 후 이용자가 실행 파일을 바로 실행할 경우 즉시 보안 위협에 노출된다.

ESRC는 이번 공격의 배후를 파악하는 과정에서 해당 HWP 문서파일에서 ‘HighExpert’ 계정을 발견했다고 밝혔다.

▲HighExpert 계정을 사용한 HWP 문서 정보 화면[이미지=ESRC]

HighExpert 계정은 2017년 전후부터 여러 차례 발견된 바 있는데, ‘최근소식.hwp’, ‘자녀와부정적인대화상황대응법.hwp’, ‘통지.hwp’, ‘홍삼6품단가.xlsx’ 등에서 공통적으로 사용됐다. 이와 유사한 공격은 매우 다양하지만, 대표적인 사례들을 연결해 보면 다음과 같다.

▲HighExpert 코드 등으로 연결되는 다른 악성 파일 사례들[이미지=ESRC]

하이퍼링크로 인해 실행되는 ‘desktop.scr’ 악성 파일은 화면보호기 확장자로 위장했고, 한국시간(KST) 기준으로 ‘2019-03-17 18:33:02’ 날짜에 제작된 32비트 기반의 악성 실행(exe) 파일이다. 아이콘은 마치 화면보호기처럼 보이도록 그림 리소스를 가지고 있다.

본격적인 악성 행위가 실행되면 코드 내부에 인코딩되어 있는 데이터 블럭이 XOR 0x59 연산을 통해 디코딩된다. 그리고 해당 사이트로 접속해 추가 악성모듈을 다운로드한다. 연결을 시도하는 명령제어(C2) 서버는 한국의 특정 웹 사이트로 아래와 같이 두 경로에 각각 접속한다. 일부 영문 표기법은 기존 로켓맨 캠페인과 마찬가지로 중국식 의미와 비슷하지만, 이는 의도적인 거짓 교란 전술(False Flag) 목적으로 의심된다.

- inhyunits.co.kr/bbs/icon/ritian[.]php?yishi=1
- inhyunits.co.kr/bbs/icon/yiqi[.]tar

만약 악성코드가 ‘ritian.php’ 서버와 정상적으로 통신이 성공되면, 공격자는 추가 악성 파일을 내려 보낼 수 있으며 시작프로그램(Startup) 경로에 ‘iCloud.exe’ 파일명으로 설치한다.

침투에 사용된 파일명이 마치 아이클라우드 모듈처럼 위장했는데, 이미 과거 유사한 공격에서 이와 동일한 이름을 사용한 사례가 발견된 바 있다. 서버와 통신이 성공되고, 시작프로그램 경로에 악성모듈이 정상적으로 생성되면, 윈도우즈 운영체제(OS)가 다시 로그인 될 시점까지 일정 기간 실행이 지연되는 일종의 잠복기를 유지한다.

그리고 ‘yiqi.tar’ 파일은 실제 정상적인 이미지 파일인데, ‘sample.jpg’ 이름으로 임시폴더(Temp) 경로에 다운로드한 후 바로 실행된다. 이는 공격자가 정상적인 이력서 링크처럼 보이게 만든 위장 전술 중에 하나로 볼 수 있다.

시작프로그램 경로에 생성되는 ‘iCloud.exe’ 악성파일은 공격자의 명령에 따라 언제든지 가변적이지만, ESRC가 추적하던 중 실제 공격에 사용된 모듈을 확보할 수 있었다고 밝혔다. 해당 파일은 한국시간(KST) 기준으로 ‘2019-03-17 15:35:02’에 제작됐으며, 코드가 UPX 실행압축기로 패킹이 된 형태였다. 다만, UPX 패킹 후에 코드 내부의 각 섹션들을 Scramble 기법으로 조작, 분석방해 목적으로 활용했다.

그리고 이 악성 파일은 가상의 분석환경(VMware, VirtualBox)을 회피하기 위해서 이더넷 어댑터의 로컬영역 물리적(MAC) 주소를 비교해, 가상환경일 경우에는 실행되지 않도록 만든다.

▲물리적(MAC) 주소를 비교하는 화면[이미지=ESRC]

실행환경 조건이 설정된 가상의 물리적 주소와 부합되지 않으면, 악성 모듈은 정상적으로 로드가 진행되고, 공격자가 지정한 두 번째 명령제어(C2) 서버와 통신을 수행한다. 이때 사용하는 서버 주소 역시 코드가 암호화되어 있어, 평문 스트링 서치만으로는 확인이 불가능하고, 특정 데이터 블록에 할당된 값과 특정 XOR 키 로직 루틴에 의해 복호화된다.

2차 스테이지에서 사용하는 공격 서버 역시 한국에서 운영되는 기업의 서버임을 알 수 있다. 그리고 암호화된 상태로 코드가 숨겨져 있지만, 실제 내부에는 ‘srvrlyscss’ 문자열 코드가 존재하는데, 이 문자열은 이미 로켓맨 캠페인에서 동일하게 사용된 바 있다. 이 문자열은 'Server Relay Sucess' 표현의 약어로 추정이 되지만 확정할 수는 없다고 ESRC는 설명했다.

▲‘srvrlyscss’ 문자열을 사용하는 코드 복호화 화면[이미지=ESRC]

표적형 APT 악성코드는 공격자의 명령이나 의도에 따라 감염된 컴퓨터의 각종 시스템 정보 등을 수집해 명령제어(C2) 서버로 은밀히 탈취해 갈 수 있으며, 추가 조건에 따라 원격제어 등 예기치 못한 피해로 이어질 수 있다. ESRC는 특정 정부의 후원을 받고 있으며, 한국내 대표적인 사이버 보안위협 요소로 분류된 ‘로켓맨 APT 공격 캠페인’을 지속적으로 탐지하고 대응하고 있다고 밝혔다. 특히, 이번 위협이 치밀하게 준비된 국가차원의 사이버 작전으로 판단하고 있으며, 한국인터넷진흥원(KISA) 등과 긴밀하게 공조함과 동시에 위협 인텔리전스를 보다 강화할 예정이라고 강조했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)