Home > 전체기사
해커조직 금성 121, 대북관련 단체 인사 타깃 사이버공격
  |  입력 : 2019-04-29 15:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
금성121의 ‘로켓맨 캠페인’ 오퍼레이션 ‘블랙 배너’ APT 공격 등장
제로데이 취약점 아닌 패치된 취약점...최신 버전으로 업데이트 해야


[보안뉴스 원병철 기자] 지난 주말 대북관련 단체의 주요 인사를 대상으로 스피어 피싱(Spear Phishing) 공격이 수행된 정황이 포착됐다. 이스트시큐리티 시큐리티 대응센터(이하 ESRC)는 특정 정부의 지원을 받는 것으로 알려진 금성121 조직이 주말동안 HWP 문서파일 취약점을 기반으로 한 APT 공격을 펼친 것을 확인했다고 밝혔다. 특히, ESRC는 이번 공격은 별다른 설명이나 내용 없이 배포돼 수신자가 단순 호기심에 첨부파일을 열어보도록 유인하는 형태를 띄고 있다고 설명했다.

[이미지=iclickart]


오퍼레이션 블랙 배너(Operation Black Banner)
ESRC에서는 이번 APT 공격이 ‘금성121(Geumseong121)’ 조직이 수행 중인 로켓맨 캠페인의 일환이라는 것을 확인했다. 공격벡터에는 마치 정상적인 배너 이미지파일로 위장한 악성코드가 사용됐는데, 이러한 특징을 활용해 사이버 작전명을 ‘블랙 배너(Operation Black Banner)’로 이름지었다고 밝혔다.

▲한국의 이메일 서비스로 수행된 스피어 피싱 화면[이미지=ESRC]


지난 주말동안 다양한 사용자들에게 배포된 것으로 추정되며, 주로 대북관련 단체에서 활동한 사람들이 주요 표적인 것으로 보인다. 공격자는 29KB 크기의 HWP 문서파일을 첨부해 공격을 수행했으며, 이메일 본문에는 별다른 내용을 포함하고 있지 않다.

HWP 문서 파일의 BinData 스트림에는 ‘BIN0001.eps’ 포스트 스크립트(Post Script)가 포함되어 있다.

▲HWP 포스트 스크립트 화면[자료=ESRC]


포스트 스크립트와 쉘코드가 정상적으로 작동하면, 한국의 특정 웹사이트로 통신을 시도하게 된다. 호스트와 통신이 이뤄지면, 파일명이 GIF 이미지 파일처럼 위장한 파일을 다운로드하는데, 실제로는 32비트 악성 EXE 파일이다. 악성 파일은 한국시간(KST) 기준으로 2019년 4월 18일에 제작됐으며, UPX 스크램블 기법이 적용되어 있다.

▲포스트 스크립트 쉘코드와 C2 주소 화면[자료=ESRC]


악성 파일은 2019년 4월 29일 현재, 한국의 특정 웹사이트에 등록되어 있다. ESRC는 해당 서버가 침해사고로 인해 악의적인 코드가 등록된 것으로 판단, 한국인터넷진흥원(KISA) 등 유관기관에 관련 내용을 공유해 신속한 대응이 이뤄질 수 있도록 협력하고 있다고 밝혔다.

ESRC에서는 해당 코드를 분석한 결과, 금성121 위협 조직이 배후에 있다는 단서들을 확보했다고 설명했다. 악성코드는 ‘sogoupin.exe’ 파일명으로 등록되며, 한국의 특정 명령제어(C&C) 서버 주소로 통신을 시도한다.

- youngs.dgweb.kr/skin15/include/bin/home[.]php

▲C2 통신 패킷 화면[자료=ESRC]


C&C 서버와 통신할 때 ‘srvrlyscss’ 스트링이 사용되는 것을 볼 수 있는데, 이 문자열은 기존 유사 침해사고에서 지속적으로 발견되고 있다. 이 약어는 ‘Server Relay Success’ 줄임말로 추정되고 있다. 이 문자열은 과거 금성121 그룹의 최신 APT 캠페인 ‘작전명 로켓맨(Operation Rocket Man)’에서 공개된 바 있다. 그리고 C&C 주소로 사용된 ‘youngs.dgweb.kr’ 도메인은 로켓맨 APT 캠페인, ‘오퍼레이션 골든 버드(Operation Golden Bird)’ 리포트에서 동일하게 사용된 바 있다.

이처럼 공격자는 기존부터 동일한 TTPs(Tactics, Techniques, and Procedures) 기반의 공격 벡터를 그대로 재활용하고 있다. ESRC는 흥미롭게도 이번 악성 코드에서는 다음과 같은 PDB 경로가 식별되기도 했다고 밝혔다.

- F:\))PROG\ie\test.pdb

▲PDB 경로 존재 화면[자료=ESRC]


이와 유사한 PDB 경로는 이미 유사한 형태가 다수 보고된 바 있으며, 100% 동일한 코드가 Operation High Expert 내용에 포함되어 있다.

ESRC는 금성121 조직의 APT 공격이 꾸준히 진행되고 있다고 밝혔다. 주로 스피어 피싱 공격이 포착되고 있으며, HWP 문서 파일의 취약점을 활용하고 있다고 설명했다. ESRC에서는 이들 조직이 특정 정부의 후원을 받는 것으로 확신하고 있으며, 위협 인텔리전스 기반으로 리서치를 진행하고 있다고 덧붙였다.

아울러 이번 공격에 사용된 것이 제로데이 취약점은 아니며, 이미 보안패치가 완료된 것으로 알려졌다. 이에 따라 이용자들은 반드시 최신 버전으로 문서 소프트웨어를 업데이트해 유사한 위협에 노출되지 않도록 각별한 주의가 필요하다고 당부했다.

한편, 알약은 이번 공격과 관련된 악성코드를 ‘Trojan.Agent.110592C’ 탐지명으로 추가했다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향