Çѱ¹ ´ëºÏ´Üü, ¿Ü±³, ¾Èº¸, ÅëÀÏ, ±¹¹æºÐ¾ß ¹× Å»ºÏ¹Î µîÀ» »ó´ë·Î ÁýÁßÀûÀÎ APT °ø°Ý ¼öÇà
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ºÏÇÑ ÃßÁ¤ »çÀ̹ö °ø°Ý±×·ì ¡®±Ý¼º 121¡¯ÀÌ ÃÖ±Ù ¿ì¸®³ª¶ó¸¦ ´ë»óÀ¸·Î ÇÑ °ø°ÝÀ» ¿¬À̾î ÁøÇàµÇ°í ÀÖ´Ù. 2019³â 3¿ù 20ÀÏ ¡®·ÎÄÏ¸Ç APT Ä·ÆäÀÎ, ¿ÀÆÛ·¹ÀÌ¼Ç °ñµç ¹öµå(Operation Golden Bird)¡¯ ¸®Æ÷Æ®¸¦ ÅëÇØ HWP ¹®¼±â¹Ý À̷¼¸¦ »çĪÇØ ¼öÇàÇÑ APT °ø°ÝÀ̳ª, 1¿ù 23ÀÏ ¡®È¦¸®µ¥ÀÌ ¿ÍÀÌÆÛ(Operation Holiday Wiper)·Î ±ÍȯÇÑ ·ÎÄÏ¸Ç APT Ä·ÆäÀΡ¯ ¸®Æ÷Æ®¿¡¼ XLS ¹®¼ÆÄÀÏÀ» È°¿ëÇÑ ½ºÇǾî ÇǽÌ(Spear Phishing) »ç·Ê¿Í µ¥ÀÌÅÍ »èÁ¦ ½Ãµµ Á¤È² µîÀÌ ´ëÇ¥ÀûÀ̶ó°í À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ESRC)´Â ¹àÇû´Ù.
[À̹ÌÁö=iclickart]
ƯÈ÷ ESRC¿¡¼´Â À̵éÀÌ »çÀ̹ö ÁÖ¹«±â·Î È°¿ëÇÑ °ø°Ýº¤ÅÍ¿Í ÈÞ¸Õ ÀÎÅÚ¸®Àü½º¿¡ ÁÖ¸ñÇÏ°í, ±×µ¿¾È ¾Ë·ÁÁöÁö ¾Ê¾Ò´ø ¸î °¡Áö °ø°Ý »ç·Ê¸¦ Ãß°¡·Î È®ÀÎÇß´Ù. ´õºÒ¾î ±Ý¼º121 À§ÇùÁ¶Á÷ ¹èÈÄ¿¡ ¡®Æ¯Á¤ Á¤ºÎÀÇ ÈÄ¿øÀ» ¹Þ´Â Á¶Á÷(State-Sponsored Actor)¡¯ÀÌ Á¸ÀçÇϸç, °ú°Å 2018³â ·ÎÄÏ¸Ç Ä·ÆäÀο¡¼´Â ¡®175.45.178.133(ºÏÇÑ Æò¾ç½Ã ·ù°æµ¿)¡¯ ¾ÆÀÌÇÇ ÁÖ¼Ò°¡ ¹ß°ßµÈ ¹Ù ÀÖ´Ù°í ¼³¸íÇß´Ù.
APT ÀÛÀüº¸¾È ½ÇÆÐ(APT OPSEC FAIL)¿Í ½º¸ðÅ· °Ç(Smoking Gun) ¹è°æ
Á¤ºÎÈÄ¿øÀ» ¹Þ¾Æ ÁøÇàµÇ´Â °íµµÀÇ »çÀ̹ö ÀÛÀü¿¡¼ °ø°ÝÁÖü¸¦ ±Ô¸íÇÏ°í, ½Çü¸¦ ¹àÇô³»´Â °úÁ¤Àº ¸Å¿ì ¾î·Á¿î ÀÏÀÌ´Ù. ÇÏÁö¸¸ °ø°ÝÀÚ°¡ ¼öÇàÇÑ ´Ù¼öÀÇ À§Çù Ä·ÆäÀÎÀ» Á¾ÇÕÀûÀ¸·Î ºÐ¼®ÇÏ°í, Áö¼ÓÀûÀÎ °üÂûÀ» ÅëÇØ ¾î´À Á¤µµ À¯ÀǹÌÇÑ µ¥ÀÌÅ͸¦ ¼±º°ÇØ ³¾ ¼öµµ ÀÖ´Ù´Â °ÍÀÌ ESRCÀÇ ÁÖÀåÀÌ´Ù.
¿¹¸¦ µé¸é, ±¹°¡Â÷¿øÀÇ »çÀ̹öÀ§ÇùÀº ¸¶Ä¡ ±º»çÀÛÀüÀ» ¹æºÒÄÉ ÇÒ Á¤µµ·Î Àº¹ÐÇÏ°Ô ÁøÇàµÇ°í ÀÖÀ¸¸ç, ½ÇÁ¦ ±ºÀνźÐÀ¸·Î »çÀ̹öÀÛÀü¿¡ °¡´ãÇÏ°í ÀÖ´Â °æ¿ìµµ ¾Ë·ÁÁ® ÀÖ´Ù. ±×·¯³ª À§Çù´ë»ó ȯ°æÀÌ ´Ùº¯ÈµÇ°í °ø°ÝÀÌ ±ÞÇÏ°Ô ÁøÇàµÉ °æ¿ì °æÇè ¹× Áغñ ºÎÁ· ¶Ç´Â ¿¹±âÄ¡ ¸øÇÑ ½Ç¼ö µîÀ¸·Î ÀǵµÇÏÁö ¾Ê°Ô ´Ù¾çÇÑ µðÁöÅÐ Áõ°Å°¡ ³²°Ô µÈ´Ù. À̸¥¹Ù °áÁ¤Àû ´Ü¼·Î ºñÀ¯µÇ´Â ¡®½º¸ðÅ· °Ç(Smoking Gun)¡¯ÀÌ »ç°Ç ÇöÀå¿¡ °í½º¶õÈ÷ ³²°ÜÁö¸ç, °á±¹ ±º»ç¿ë¾î Áß ÇϳªÀÎ ¡®ÀÛÀüº¸¾È ½ÇÆÐ(OPSEC FAIL)¡¯·Î À̾îÁø´Ù°í ESRC´Â ¼³¸íÇß´Ù.
ÀÌó·³ ±º»çÀÛÀü º¸¾ÈÁöħÀÌ »çÀ̹ö°ø°£¿¡¼µµ ¸Å¿ì Áß¿äÇÑ ¿ä¼Ò·Î ²ÅÈ÷¸ç, À§Çù Á¶Á÷°ú ¹èÈĸ¦ ¹àÇô³»´Âµ¥ µÇ¸ç, ¾Æ¿ï·¯ »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º ºÐ¾ß¿¡ ±º»çº¸¾È ¹× øº¸ ¿ë¾î°¡ ÀÚ¿¬½º·´°Ô Á¢¸ñµÇ°í ÀÖ´Ù.
±Ý¼º121, ·ÎÄÏ¸Ç Ä·ÆäÀÎ Áß ³²°ÜÁø Àǹ®ÀÇ ÆÛÁñ Á¶°¢µé
¡â·ÎÄÏ¸Ç APT Ä·ÆäÀÎ, ¿ÀÆÛ·¹ÀÌ¼Ç °ñµç ¹öµå(Operation Golden Bird) 2019. 03. 20
¡âȦ¸®µ¥ÀÌ ¿ÍÀÌÆÛ(Operation Holiday Wiper)·Î ±ÍȯÇÑ ·ÎÄÏ¸Ç APT Ä·ÆäÀÎ 2019. 01. 23
¡â¿ÀÆÛ·¹ÀÌ¼Ç ºí·¢¹öµå(Operation Blackbird), ±Ý¼º121ÀÇ ¸ð¹ÙÀÏ Ä§°ø 2018. 12. 13
¡â±Ý¼º121(Geumseong121) ÄÚ¸®¾È ½º¿öµå(Operation Korean Sword) ÀÛÀü ¼öÇà Áß 2018. 11. 16
¡â±Ý¼º121 ±×·ìÀÇ ÃֽŠAPT Ä·ÆäÀÎ, ÀÛÀü¸í ·ÎÄÏ ¸Ç(Operation Rocket Man) 2018. 08. 22
¡â±Ý¼º121 ±×·ìÀÇ ³²ºÏÀ̻갡Á·Ã£±â Àü¼öÁ¶»ç »çĪ À̸ÞÀÏ ÁÖÀÇ 2018. 07. 04
¡â±Ý¼º121, Flash Player Zero-Day(CVE-2018-4878) °ø°Ý ÁÖÀÇ 2018. 02. 02
2018³â 10¿ù 01ÀÏ º¸°íµÈ ¾Ç¼º HWP ¹®¼´Â ƯÁ¤ Å»ºÏ¹ÎÀÇ ¿î¼¼ Á¤º¸¸¦ ´ã°í ÀÖ¾ú´Ù. ÀÌ °ø°Ý¿¡¼´Â ´ÙÀ½°ú °°Àº C2°¡ »ç¿ëµÆ´Ù.
- youngs.dgweb[.]kr/skin15/include/bin/forlab.php
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=1
- 211.218.126[.]236/ct/data/icon/files/pool.tar
- 211.218.126[.]236/ct/data/icon/files/goal.php?miracles=2
youngs.dgweb[.]kr µµ¸ÞÀÎÀº ¡®¿ÀÆÛ·¹ÀÌ¼Ç °ñµç ¹öµå(Operation Golden Bird)¡¯¿¡¼µµ ÀçÈ°¿ëµÈ´Ù.
¡ã2018³â 08¿ù ·ÎÄÏ¸Ç Ä·ÆäÀÎ(ÁÂ)°ú 2018³â 10¿ù ¹ß°ßµÈ HWP ¾Ç¼ºÄÚµå(¿ì) ºñ±³ ȸé[ÀÚ·á=ESRC]
2018³â 7¿ù°ú 10¿ù±îÁö ¿¬¼ÓÀ¸·Î ¹ß°ßµÈ HWP Ãë¾àÁ¡ ¾Ç¼ºÆÄÀÏÀ» ºñ±³ÇØ º¸¸é, µ¿ÀÏÇÏ°Ô ¡®easy¡¯ °èÁ¤¸íÀÌ ¹®¼ÆÄÀÏ ÀúÀå¿¡ »ç¿ëµÈ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ±×¸®°í µÎ°³ ¸ðµÎ ¡®HighExpert¡¯ °èÁ¤ÀÌ ¹ß°ßµÇ¾ú´Âµ¥, ¡®DocOptions¡¯ ½ºÆ®¸²¿¡ Æ÷ÇԵǾî ÀÖ´Â ¡®_LinkDoc¡¯ µ¥ÀÌÅÍ¿¡ ÀǵµÇÏÁö ¾Ê°Ô ´ÙÀ½°ú °°Àº ½ÇÁ¦ À©µµ¿ìÁî °èÁ¤ÀÌ Æ÷ÇԵǾî ÀÖ´Ù.
¡ãHighExpert °èÁ¤ ȸé[ÀÚ·á=ESRC]
2018³â¿¡´Â ÁÖ·Î ÀÌ·¸°Ô HWP ¹®¼ÆÄÀÏ¿¡ ¾ÇÀÇÀûÀÎ Äڵ带 »ðÀÔÇØ È°¿ëÇßÁö¸¸, 2019³â 01¿ù¿¡´Â XLS ¹®¼ÆÄÀÏ·Î º¯°æÀ» ½ÃµµÇÑ´Ù. ´ç½Ã¿¡´Â ¡®È«»ï6Ç°´Ü°¡.xlsx¡¯, ¡®¼·¿Ü´ë»óÀÚ.xlsx¡¯, ¡®TransactionBill.xlsx¡¯ µîÀÌ ¹ß°ßµÈ ¹Ù ÀÖ´Ù.
°ø°ÝÀÚ´Â ¿¢¼¿ÆÄÀÏ¿¡ µ¥ÀÌÅÍ ¿¬°á ±â´ÉÀ» ÀÌ¿ëÇØ ÆÄ¿ö½© ¸í·ÉÀ» ¼öÇàÇϵµ·Ï ¼³Á¤Çß´Ù. Ãʱ⠰ø°Ý¿¡¼´Â ¾Æ¹«·± ³»¿ë ¾øÀÌ ¡®#REF!¡¯ ¹®ÀÚ¸¸ º¸ÀÌ´ø ÇüÅ¿´Áö¸¸, ÀÌ ³»¿ëÀÌ ¹Ù·Î ³ëÃâµÇ¾ú±â ¶§¹®¿¡ ¾Æ¹«·¡µµ °ø°Ý ¼º°øÀ²ÀÌ ³·¾Ò´Ù. ±×·¯³ª °ø°ÝÀÚ´Â ¹Ù·Î ´Ù¸¥ ³»¿ëµéÀ» Æ÷ÇÔÇؼ ¡®#REF!¡¯ ¹®ÀÚ°¡ ´«¿¡ Àß º¸ÀÌÁö ¾Êµµ·Ï °ø°Ý¿¡ º¯È¸¦ ½ÃµµÇß´Ù.
¡ãDDE ½ÇÇà¹æ½ÄÀ» »ç¿ëÇÑ ¾Ç¼º ¿¢¼¿¹®¼[ÀÚ·á=ESRC]
¾Ç¼º XLSX ¹®¼´Â ¡®externalLink1.xml¡¯ ÆÄÀÏ¿¡ [ddeService="cmd" ddeTopic="/c p^o^w^er^sh^el^l] ÆÄ¿ö½© ¸í·ÉÀ» ÅëÇØ Æ¯Á¤À¥ »çÀÌÆ®¿¡¼ ¾Ç¼ºÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇϵµ·Ï ¼³Á¤ÇÏ°Ô ¸¸µç´Ù. °ø°ÝÀÚ´Â ÀÌ·¯ÇÑ ¼³Á¤À» °ÅÄ¡´Â °úÁ¤¿¡¼ ÀÚ½ÅÀÌ »ç¿ëÇÑ À©µµ¿ìÁî °èÁ¤ÀÌ ¹®¼ÆÄÀÏ ¸ÞŸµ¥ÀÌÅÍ¿Í ¡®workbook.xml¡¯ µî¿¡ ¿©·¯ ´Ü¼µéÀ» ³²°å´Ù.
½ÇÁ¦ °ø°ÝÀÚ°¡ ´ÙÀ½°ú °°Àº °æ·Î¿¡¼ ¾Ç¼º ÆÄÀÏÀ» »ý¼ºÇß´Ù´Â °ÍÀ» ÆľÇÇÒ ¼ö ÀÖ´Ù.
- C:\Users\HighExpert\Documents\Sample\
¡ãHighExpert °æ·Î°¡ ¹ß°ßµÈ ȸé[ÀÚ·á=ESRC]
°ø°ÝÀÚ´Â ÀÌÈÄ¿¡ Á» ´õ ´Ù¾çÇÑ ÇüÅ·Π½ºÇǾî ÇÇ½Ì °ø°ÝÀ» ¼öÇàÇϴµ¥, Çѱ¹ÀÇ À¯¸í °áÁ¦ ¼ºñ½º Çö±Ý ¿µ¼öÁõ ³»¿ëó·³ À§ÀåÇÑ °ø°ÝÀ» ¼öÇàÇϱ⵵ Çß´Ù.
- wooridz[.]com/editor/js/temp/dynamic.ini
À̶§¿¡ »ç¿ëµÈ ¼¹ö´Â Çѱ¹ÀÇ Æ¯Á¤ È£½ºÆ®·Î ¿¬°áÀÌ µÇ°í Àִµ¥, ¡®È«»ï6Ç°´Ü°¡.xlsx¡¯ °ø°Ý¿¡¼µµ µ¿ÀÏÇÑ µµ¸ÞÀÎÀÌ »ç¿ëµÈ ¹Ù ÀÖ´Ù.
- wooridz[.]com/editor/sorak/U.conf
- wooridz[.]com/editor/sorak/U3.conf
- wooridz[.]com/editor/sorak/U4.conf
- wooridz[.]com/editor/sorak/defaults.conf
ÀÌ XLSX ÆÄÀÏ¿¡¼´Â °ø°ÝÀÚ°¡ ÇÑ±Û Æú´õ¸¦ »ý¼ºÇØ ¾Ç¼º ¹®¼¸¦ Á¦ÀÛÇß´Ù´Â ´Ü¼¸¦ È®º¸ÇÒ ¼ö ÀÖ´Ù.
- D:\00-¹®¼µé\MS Excel\
¡ãXLSX ¹®¼ ³»ºÎ¿¡ Á¸ÀçÇÏ´Â °ø°ÝÀÚ È°¿ë °æ·Î[ÀÚ·á=ESRC]
·ÎÄÏ¸Ç Ä·ÆäÀÎ 'Operation HighExpert' OLE ÁÖ¹«±â
2019³â 3¿ù 24ÀÏ¿¡´Â ´Ù½Ã OLE ±â¹ýÀ» È°¿ëÇÑ HWP °ø°Ýº¤ÅÍ·Î ÃֽŠ°ø°ÝÀ» ¼öÇàÇß´Ù. À̹ø °ø°Ý¿¡¼´Â ¸¶Áö¸· ÀúÀåÇÑ »ç¶÷ÀÌ ¡®Cinemat¡¯ °èÁ¤À» »ç¿ëÇßÁö¸¸, HWP BinData ½ºÆ®¸²¿¡ Æ÷ÇԵǾî ÀÖ´Â ¡®BIN0004.OLE¡¯ ¿µ¿ª ºÐ¼®À» ÅëÇØ °ø°ÝÀÚÀÇ ÈçÀûÀ» ½Äº°ÇÒ ¼ö ÀÖ´Ù. OLE ±â´ÉÀ» ÅëÇØ ³»ºÎ¿¡ Æ÷ÇԵǾî ÀÖ´Â ¡®hwp.exe¡¯ ÆÄÀÏÀ» »ý¼ºÇÏ´Â ±â´ÉÀ» ¼öÇàÇϴµ¥, ¸¶Ä¡ Á¤»óÀûÀÎ ÇÁ·Î±×·¥Ã³·³ ÆÄÀϸíÀ» À§ÀåÇÑ ¾Ç¼ºÄÚµå´Ù.
±×·±µ¥ ÀÌ ÆÄÀÏÀ» ¼³Á¤ÇÏ´Â °úÁ¤¿¡¼ °ø°ÝÀÚ°¡ ÀÚ½ÅÀÇ °èÁ¤°ú °æ·Î°¡ ÀǵµÇÏÁö ¾Ê°Ô ³ëÃâµÆ´Ù.
C:\Users\HIGHEX~1\AppData\Local\Temp\hwp.exe
¿©±â¼ °èÁ¤¸íÀº ÀϺΠ´ÜÃàµÇ¾úÁö¸¸, ¾Õ¼± »ç·Ê¿Í °°ÀÌ ¡®HighExpert¡¯ À̸§ÀÌ µ¿ÀÏÇÏ°Ô »ç¿ëµÈ °ÍÀ» º¼ ¼ö ÀÖ´Ù.
¡ãHighExpert °èÁ¤ÀÌ ¹ß°ßµÈ ȸé[ÀÚ·á=ESRC]
ƯÈ÷, À̹ø °ø°Ý È帧¿¡¼ °áÁ¤ÀûÀÎ ´Ü¼°¡ Çϳª ´õ Æ÷ÂøÀÌ µÇ´Âµ¥, UPX ½ºÅ©·¥ºí ±â¹ýÀ» »ç¿ëÇÏ°í 1´Ü°è¿¡¼ ÀÛµ¿ÇÏ´Â ÆäÀ̷εå(Payload) ¸ðµâ¿¡¼ °ú°Å¿¡ »ç¿ëÇÏ´ø PDB °æ·Î°¡ ¹ß°ßµÈ °ÍÀÌ´Ù.
- F:\))PROG\ie\test.pdb
¡ãPROG PDB°¡ Æ÷ÇÔµÈ È¸é[ÀÚ·á=ESRC]
¿©±â¼ »ç¿ëµÈ PDB °æ·Î´Â ¡®ESRC-1808-TLP-White-IR002_RocketMan_English¡¯ º¸°í¼¸¦ ÅëÇØ ÀÌ¹Ì °ø°³µÈ ¹Ù ÀÖ´Ù°í ¼³¸íÇß´Ù.
±Ý¼º121(Geumseong121) À§ÇùÁ¶Á÷Àº Çѱ¹ÀÇ ´ëºÏ´Üü, ¿Ü±³, ¾Èº¸, ÅëÀÏ, ±¹¹æºÐ¾ß ¹× Å»ºÏ¹Î µîÀ» »ó´ë·Î ÁýÁßÀûÀÎ APT °ø°ÝÀ» ¼öÇàÇÏ°í ÀÖÀ¸¸ç, ÁÖ·Î HWP¿Í XLS ¹®¼ÆÄÀÏÀ» ÅëÇÑ °ø°ÝÀ» ÁÖ¹«±â·Î È°¿ëÇÏ°í ÀÖ´Ù. ¶§¹®¿¡ À̸ÞÀÏ¿¡ ÷ºÎÆÄÀÏÀÌ Á¸ÀçÇÏ´Â °æ¿ì °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇϸç, À©µµ¿ìÁî ¿î¿µÃ¼Á¦(OS)¿Í ¹®¼ÀÛ¼º ÇÁ·Î±×·¥À» Ç×»ó ÃֽŹöÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ¾ß ÇÑ´Ù. ±×¸®°í ½Å·ÚÇÒ ¼ö ÀÖ´Â ¹é½Å ÇÁ·Î±×·¥À» ¼³Ä¡ÇÏ°í, ½Ç½Ã°£ °¨½Ã ±â´É°ú ÀÚµ¿ ¾÷µ¥ÀÌÆ® ¼³Á¤ µîÀ» ÅëÇØ ¾Ë·ÁÁø º¸¾ÈÀ§Çù¿¡ ³ëÃâµÇÁö ¾Êµµ·Ï °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù°í ESRC´Â ¼³¸íÇß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>