Home > 전체기사
금성121의 1년간의 공격 기록...군사작전 방불케 한 7개 공격들
  |  입력 : 2019-04-02 18:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ESRC, 북한 추정 사이버 공격그룹 금성 121 추적보고서 ‘오퍼레이션 하이 엑스퍼트’
한국 대북단체, 외교, 안보, 통일, 국방분야 및 탈북민 등을 상대로 집중적인 APT 공격 수행


[보안뉴스 원병철 기자] 북한 추정 사이버 공격그룹 ‘금성 121’이 최근 우리나라를 대상으로 한 공격을 연이어 진행되고 있다. 2019년 3월 20일 ‘로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird)’ 리포트를 통해 HWP 문서기반 이력서를 사칭해 수행한 APT 공격이나, 1월 23일 ‘홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인’ 리포트에서 XLS 문서파일을 활용한 스피어 피싱(Spear Phishing) 사례와 데이터 삭제 시도 정황 등이 대표적이라고 이스트시큐리티 시큐리티대응센터(ESRC)는 밝혔다.

[이미지=iclickart]


특히 ESRC에서는 이들이 사이버 주무기로 활용한 공격벡터와 휴먼 인텔리전스에 주목하고, 그동안 알려지지 않았던 몇 가지 공격 사례를 추가로 확인했다. 더불어 금성121 위협조직 배후에 ‘특정 정부의 후원을 받는 조직(State-Sponsored Actor)’이 존재하며, 과거 2018년 로켓맨 캠페인에서는 ‘175.45.178.133(북한 평양시 류경동)’ 아이피 주소가 발견된 바 있다고 설명했다.

APT 작전보안 실패(APT OPSEC FAIL)와 스모킹 건(Smoking Gun) 배경
정부후원을 받아 진행되는 고도의 사이버 작전에서 공격주체를 규명하고, 실체를 밝혀내는 과정은 매우 어려운 일이다. 하지만 공격자가 수행한 다수의 위협 캠페인을 종합적으로 분석하고, 지속적인 관찰을 통해 어느 정도 유의미한 데이터를 선별해 낼 수도 있다는 것이 ESRC의 주장이다.

예를 들면, 국가차원의 사이버위협은 마치 군사작전을 방불케 할 정도로 은밀하게 진행되고 있으며, 실제 군인신분으로 사이버작전에 가담하고 있는 경우도 알려져 있다. 그러나 위협대상 환경이 다변화되고 공격이 급하게 진행될 경우 경험 및 준비 부족 또는 예기치 못한 실수 등으로 의도하지 않게 다양한 디지털 증거가 남게 된다. 이른바 결정적 단서로 비유되는 ‘스모킹 건(Smoking Gun)’이 사건 현장에 고스란히 남겨지며, 결국 군사용어 중 하나인 ‘작전보안 실패(OPSEC FAIL)’로 이어진다고 ESRC는 설명했다.

이처럼 군사작전 보안지침이 사이버공간에서도 매우 중요한 요소로 꼽히며, 위협 조직과 배후를 밝혀내는데 되며, 아울러 사이버 위협 인텔리전스 분야에 군사보안 및 첩보 용어가 자연스럽게 접목되고 있다.

금성121, 로켓맨 캠페인 중 남겨진 의문의 퍼즐 조각들
△로켓맨 APT 캠페인, 오퍼레이션 골든 버드(Operation Golden Bird) 2019. 03. 20
△홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인 2019. 01. 23
△오퍼레이션 블랙버드(Operation Blackbird), 금성121의 모바일 침공 2018. 12. 13
△금성121(Geumseong121) 코리안 스워드(Operation Korean Sword) 작전 수행 중 2018. 11. 16
△금성121 그룹의 최신 APT 캠페인, 작전명 로켓 맨(Operation Rocket Man) 2018. 08. 22
△금성121 그룹의 남북이산가족찾기 전수조사 사칭 이메일 주의 2018. 07. 04
△금성121, Flash Player Zero-Day(CVE-2018-4878) 공격 주의 2018. 02. 02

2018년 10월 01일 보고된 악성 HWP 문서는 특정 탈북민의 운세 정보를 담고 있었다. 이 공격에서는 다음과 같은 C2가 사용됐다.
- youngs.dgweb[.]kr/skin15/include/bin/forlab.php
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=1
- 211.218.126[.]236/ct/data/icon/files/pool.tar
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=2

youngs.dgweb[.]kr 도메인은 ‘오퍼레이션 골든 버드(Operation Golden Bird)’에서도 재활용된다.

▲2018년 08월 로켓맨 캠페인(좌)과 2018년 10월 발견된 HWP 악성코드(우) 비교 화면[자료=ESRC]


2018년 7월과 10월까지 연속으로 발견된 HWP 취약점 악성파일을 비교해 보면, 동일하게 ‘easy’ 계정명이 문서파일 저장에 사용된 것을 알 수 있다. 그리고 두개 모두 ‘HighExpert’ 계정이 발견되었는데, ‘DocOptions’ 스트림에 포함되어 있는 ‘_LinkDoc’ 데이터에 의도하지 않게 다음과 같은 실제 윈도우즈 계정이 포함되어 있다.

▲HighExpert 계정 화면[자료=ESRC]


2018년에는 주로 이렇게 HWP 문서파일에 악의적인 코드를 삽입해 활용했지만, 2019년 01월에는 XLS 문서파일로 변경을 시도한다. 당시에는 ‘홍삼6품단가.xlsx’, ‘섭외대상자.xlsx’, ‘TransactionBill.xlsx’ 등이 발견된 바 있다.

공격자는 엑셀파일에 데이터 연결 기능을 이용해 파워쉘 명령을 수행하도록 설정했다. 초기 공격에서는 아무런 내용 없이 ‘#REF!’ 문자만 보이던 형태였지만, 이 내용이 바로 노출되었기 때문에 아무래도 공격 성공율이 낮았다. 그러나 공격자는 바로 다른 내용들을 포함해서 ‘#REF!’ 문자가 눈에 잘 보이지 않도록 공격에 변화를 시도했다.

▲DDE 실행방식을 사용한 악성 엑셀문서[자료=ESRC]


악성 XLSX 문서는 ‘externalLink1.xml’ 파일에 [ddeService="cmd" ddeTopic="/c p^o^w^er^sh^el^l] 파워쉘 명령을 통해 특정웹 사이트에서 악성파일을 다운로드하고 실행하도록 설정하게 만든다. 공격자는 이러한 설정을 거치는 과정에서 자신이 사용한 윈도우즈 계정이 문서파일 메타데이터와 ‘workbook.xml’ 등에 여러 단서들을 남겼다.

실제 공격자가 다음과 같은 경로에서 악성 파일을 생성했다는 것을 파악할 수 있다.

- C:\Users\HighExpert\Documents\Sample\

▲HighExpert 경로가 발견된 화면[자료=ESRC]


공격자는 이후에 좀 더 다양한 형태로 스피어 피싱 공격을 수행하는데, 한국의 유명 결제 서비스 현금 영수증 내용처럼 위장한 공격을 수행하기도 했다.

- wooridz[.]com/editor/js/temp/dynamic.ini

이때에 사용된 서버는 한국의 특정 호스트로 연결이 되고 있는데, ‘홍삼6품단가.xlsx’ 공격에서도 동일한 도메인이 사용된 바 있다.

- wooridz[.]com/editor/sorak/U.conf
- wooridz[.]com/editor/sorak/U3.conf
- wooridz[.]com/editor/sorak/U4.conf
- wooridz[.]com/editor/sorak/defaults.conf

이 XLSX 파일에서는 공격자가 한글 폴더를 생성해 악성 문서를 제작했다는 단서를 확보할 수 있다.

- D:\00-문서들\MS Excel\

▲XLSX 문서 내부에 존재하는 공격자 활용 경로[자료=ESRC]


로켓맨 캠페인 'Operation HighExpert' OLE 주무기
2019년 3월 24일에는 다시 OLE 기법을 활용한 HWP 공격벡터로 최신 공격을 수행했다. 이번 공격에서는 마지막 저장한 사람이 ‘Cinemat’ 계정을 사용했지만, HWP BinData 스트림에 포함되어 있는 ‘BIN0004.OLE’ 영역 분석을 통해 공격자의 흔적을 식별할 수 있다. OLE 기능을 통해 내부에 포함되어 있는 ‘hwp.exe’ 파일을 생성하는 기능을 수행하는데, 마치 정상적인 프로그램처럼 파일명을 위장한 악성코드다.

그런데 이 파일을 설정하는 과정에서 공격자가 자신의 계정과 경로가 의도하지 않게 노출됐다.

C:\Users\HIGHEX~1\AppData\Local\Temp\hwp.exe

여기서 계정명은 일부 단축되었지만, 앞선 사례와 같이 ‘HighExpert’ 이름이 동일하게 사용된 것을 볼 수 있다.

▲HighExpert 계정이 발견된 화면[자료=ESRC]


특히, 이번 공격 흐름에서 결정적인 단서가 하나 더 포착이 되는데, UPX 스크램블 기법을 사용하고 1단계에서 작동하는 페이로드(Payload) 모듈에서 과거에 사용하던 PDB 경로가 발견된 것이다.

- F:\))PROG\ie\test.pdb

▲PROG PDB가 포함된 화면[자료=ESRC]


여기서 사용된 PDB 경로는 ‘ESRC-1808-TLP-White-IR002_RocketMan_English’ 보고서를 통해 이미 공개된 바 있다고 설명했다.

금성121(Geumseong121) 위협조직은 한국의 대북단체, 외교, 안보, 통일, 국방분야 및 탈북민 등을 상대로 집중적인 APT 공격을 수행하고 있으며, 주로 HWP와 XLS 문서파일을 통한 공격을 주무기로 활용하고 있다. 때문에 이메일에 첨부파일이 존재하는 경우 각별한 주의가 필요하며, 윈도우즈 운영체제(OS)와 문서작성 프로그램을 항상 최신버전으로 업데이트해야 한다. 그리고 신뢰할 수 있는 백신 프로그램을 설치하고, 실시간 감시 기능과 자동 업데이트 설정 등을 통해 알려진 보안위협에 노출되지 않도록 각별한 주의가 필요하다고 ESRC는 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

아이엔아이
울타리 침입 감지 시스템

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향