김수키 해커그룹, HWP·DOC·EXE 복합 APT 공격 실시

최근 공격들 분석해보니...문서 작성자 및 접속 주소 등 동일한 공격 증거 발견

[보안뉴스 원병철 기자] 특정 정부와 연계된 것으로 알려진 김수키(Kimsuky) 공격그룹의 새로운 APT 캠페인 공격 ‘스모크 스크린(Smoke Screen)’이 발견됐다. 보안기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 김수키 공격그룹이 최근 마이크로소프트의 ‘doc 문서파일’은 물론 한글과컴퓨터의 ‘hwp 문서파일’, 그리고 ‘exe 실행파일’까지 복합적으로 사용하고 있는 것이 확인됐다고 밝혔다.

[이미지=utoimage]

공격자들은 ‘스피어 피싱(Spear Phishing)’ 대상에 따라 문서포맷을 복합적인 위협전술을 수행하고 있다. 또한, 문서파일 형식이 아닌 보안 프로그램처럼 위장한 ‘exe 실행파일’을 그대로 사용하기도 한다.

doc 문서 포맷을 이용한 공격사례 분석
DOC 악성문서는 처음 실행 시 PROTECTED DOCUMENT 내용을 보여주면서, 마치 문서의 보안기능 때문에 본문이 안 보이는 것처럼 속인다. 그리고 ‘콘텐츠 사용’ 버튼을 클릭해 악성 매크로 코드가 작동하도록 유인한다.

이때 사용된 매크로 유도 표지 디자인은 다양하게 발견이 되고 있는데, ESRC는 2018년 다른 악성문서(42867ae8cf56e803fed5682134d18f90)에 보고된 바 있는 것을 김수키 공격그룹이 유사하게 모방해 사용하고 있는 것을 확인했다고 설명했다. 이는 지난 5월 29일 공개된 ‘북한 내 코로나19 상황 인터뷰’ 문건으로 사칭한 김수키 APT 공격에서도 동일하게 사용됐다. 이외에도 다양한 종류가 발견되고 있다.

한편, 만약 이용자가 보안 경고를 무시하고, ‘콘텐츠 사용’ 버튼을 클릭할 경우 악성코드가 실행된다. 그리고 정상적인 본문 내용을 보여주어 정상적인 문서로 오인하도록 만든다. 해당 문서의 만든이는 ‘Robot Karll’이란 사람으로 되어 있는데, 이 계정은 김수키 공격그룹이 사용한 다수의 침해사건에서 목격되고 있다.

악성 문서파일의 내부에는 ‘VBA 코드’가 포함되어 있다. HEX 스트링으로 선언된 데이터를 ASCII 코드로 변환하면 한국소재의 특정 명령제어(C&C) 서버로 통신을 하도록 작업 스케줄러에 ‘OneDrive’ 이름으로 3분마다 무기한으로 반복하는 트리거를 등록한다. 이 공격 시퀀스는 이미 ‘북한 내 코로나19 상황 인터뷰’ 문건으로 사칭한 김수키 공격그룹 공격과 100% 일치한다.

▲DOC 문서를 이용한 공격 사례[이미지=ESRC]

hwp 문서 포맷을 이용한 공격 분석 사례
2020년 6월 2일에는 hwp 문서 포맷을 이용한 김수키 공격그룹의 악성 파일이 발견됐다. 해당 문서는 마지막 저장시간 기준으로 5월 4일 제작된 것으로 확인됐으며, 파일명은 ‘드론(무인항공기) 현황 및 개선방안.hwp’이다. 공격자는 드론 현황 및 개선방안 주제로 사용자를 유혹했다.

hwp 문서 내부에는 포스트 스크립트(Post Script) 코드를 포함하고 있으며, 인코딩된 쉘코드를 호출한다.

▲포스트 스크립트 화면[자료=ESRC]

포스트 스크립트에 포함된 쉘코드는 디코딩 루틴을 통해 다음과 같은 명령제어(C&C) 서버로 통신을 시도할 수 있도록 작업 스케줄러를 생성한다. 그리고 정상적인 hwp 문서 본문을 보여주며, 이용자가 의심하지 않도록 만든다.

▲디코딩 화면[자료=ESRC]

doc 문서 때와 마찬가지로 이번에도 은밀히 등록되는 작업 스케줄러 이름은 OneDrive이며, 유사 공격에서도 꾸준히 발견되고 있다.

▲OneDrive 이름으로 등록된 작업스케줄러 화면[자료=ESRC]

명령제어(C&C) 서버가 한국의 ‘boaz[.]kr’ 도메인이며, doc 때와 hwp 때가 정확히 동일하다. 아울러 이 방식은 김수키 공격그룹의 대표적인 위협 캠페인 중 하나인 ‘스모크 스크린(Smoke Screen)’때도 사용했던 방식이다.

▲스모크 스크린 공격에 사용된 공격 기법[자료=ESRC]

exe 실행 파일을 이용한 공격 분석 사례
공격자는 doc, hwp 문서를 이용한 APT 공격뿐만 아니라, exe 실행파일을 이용한 공격도 함께 사용한다. 지난 4월경에 제작된 악성 파일은 마치 AES256 복호화 프로그램처럼 위장해 공격에 사용됐다. 파일명은 ‘AES256 Decryptor.exe’이며, 아이콘 리소스는 한국어로 제작됐다.

▲한국어(Korean)로 설정된 아이콘 리소스 화면[자료=ESRC]

악성 파일은 암호화된 파일을 복호화하는 기능을 가지고 있으며, 악의적인 기능을 같이 수행한다. 실행되면 실제 복호화 기능 화면을 보여주고, 복호화 대상 파일 선택을 대기한다. 공격자는 ‘CIA Final Answer-Attachment.docx.enc’ 암호화된 파일을 공격 대상자에게 같이 보내어 파일을 복호화하도록 유도한다. 실제로 복호화가 진행되면 일부 헤더가 손상된 상태인 복구화면이 보여진다. 그런데 이 문서 파일의 속성을 보면, doc 문서 때와 동일한 ‘Robot Karll’ 계정이 동일하게 발견된다. 따라서 doc, hwp, exe 공격이 모두 동일한 속성으로 연결된다는 것을 확인할 수 있다. 그리고 복구 프로그램처럼 위장한 이 악성 파일도 동일한 ‘boaz[.]kr’ C2로 접속을 시도한다.

▲복구된 정상 문서의 속성 정보[자료=ESRC]

ESRC는 이외에도 다양한 사례의 김수키(Kimsuky) 공격그룹의 APT 공격을 발견해 대응하고 있는데, 이들 공격그룹은 최근 한국 방위산업체에 대한 공격과 외교 및 안보분야, 대북단체에 속한 주요 인사들을 집중적으로 공격하고 있다고 밝혔다. 아울러 특정 정부가 연계된 APT 공격그룹들에 대한 위협이 증가하고 있는 지금, 보다 체계화된 분석 및 대응이 요구되며, 국가사이버안보 차원의 노력과 투자가 중요한 시점이라고 강조했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)