김수키 그룹, 과거 라자루스 doc 공격 방식 활용해 北 인권단체 공격

입력 : 2020-06-11 18:25

5월 29일 보안뉴스 보도 ‘北 코로나19 상황 인터뷰 문서 사칭 APT 공격 주의...김수키 추정’ 기사 내용과 연결

[보안뉴스 원병철 기자] 최근 활발한 공격활동을 펼치고 있는 김수키(Kimsuky) APT 그룹의 새로운 공격이 발견됐다. 이스트시큐리티 ESRC(시큐리티대응센터)는 특정 정부가 배후에 가담한 것으로 알려져 있는 김수키 그룹이 최근 탈북민 관련 정보를 담은 문서로 공격한 정황이 포착됐으며, 이 공격은 지난 5월 29일 보안뉴스가 보도했던 ‘北 코로나19 상황 인터뷰 문서 사칭 APT 공격 주의... 김수키 추정’을 통해 알려진 내용과 연결되고 있다고 밝혔다.


특히, ESRC는 이번 사례를 분석하면서 매우 흥미로운 특성을 발견했는데, 이번 공격에 사용된 악성 MS 워드(.doc) 문서파일이 라자루스(Lazarus) APT 그룹이 과거에 수차례 사용한 바 있는 VBA 매크로 코드 방식을 도입했다는 것이다. 물론 이러한 공격에는 자동화된 위협도구가 공유되어 사용될 수도 있지만, 반대로 의도를 가진 거짓 표식(False Flag)을 넣어 위협그룹 조사에 혼선을 불러오기 위한 일종의 교란전술이 될 수도 있다.

탈북민 인터뷰 내용으로 위장한 APT 공격 등장
우선 악성 문서를 실행하면 영어로 작성된 탈북민 인터뷰가 포함되어 있다. 그리고 ‘콘텐츠 사용’ 버튼이 보인다. 워드 문서의 악성 기능은 VBA 내부에 포함되어 있는 악성 매크로 함수에 의해 작동하는데, 최근 사례에서는 식별된 바 없는 Anti-VM 기능을 탑재하고 있다. 그리고 매크로 함수는 간단한 암호화 루틴에 의해 문자열들이 모두 인코딩되어 있으며, 디코딩 과정을 통해 Anti-VM 기능 함수를 확인할 수 있다.



특정 영역에는 16진수 문자열로 선언된 악성 바이너리가 포함되어 있다. 내부 명령에 의해 16진수 문자열들이 조합되고, XOR 복호화를 통해 32비트 악성 ‘winload.exe’ 파일이 생성된다. 그리고 이 파일은 UPX로 실행 압축되어 있고, 다음과 같은 디지털 서명을 가지고 있다. 디지털 서명은 발급자가 인증서를 해지한 상태이고, 서명자 이름은 ‘EGIS Co., Ltd.’로 표기되어 있다. 이 서명자는 과거 김수키(Kimsuky) 그룹이 수차례 사용한 것이 보고된 바 있다.


winload.exe 파일에는 ‘BINARY’, ‘EXE’ 리소스가 포함되어 있는데, 각 리소스가 한국어로 설정되어 있어 개발자가 한국어 기반에서 제작했음을 알 수 있다.


악성 실행 파일은 UPX로 실행압축된 형태이며, 빌드 시간이 2016년 7월 30일로 조작한 것으로 분석된다. 그리고 다음과 같은 PDB 정보가 존재한다.

△D:\SPY\CSpy\Online_Setup\Release\Online_Setup.pdb

내부에 API 함수와 일부 문자열들은 doc 문서와 동일한 방식으로 인코딩되어 있다. 따라서 디코딩 과정을 거쳐야 육안상 식별하는데 용이하다. 악성 실행 파일 내부에도 주요 문자열이 인코딩되어 있고, Anti-VM 기능을 가지고 있다.


명령제어(C2) 문자열은 다음과 같이 인코딩되어 있고, 복호화를 하면 ‘wave.posadadesantiago[.]com’ URL 주소가 나타난다.

△Encode : xbwf/qptbebeftboujbhp/dpn
△Decode : wave.posadadesantiago[.]com

2017년 라자루스 조직이 사용한 악성 doc 문서와 2020년 김수키 조직이 사용한 악성 doc 문서의 내부 매크로 함수를 비교하면 다음과 같다.


ESRC는 2020년 상반기 내내 라자루스(Lazarus), 김수키(Kimsuky), 금성121(Geumseong121), 코니(Konni) 등의 APT 그룹이 한국 등을 상대로 활발한 위협 활동을 진행 중이라고 밝혔다. 또한, 이들 위협 조직들은 주로 외교, 통일, 안보분야 및 대북관련 탈북민, 언론기자 등을 상대로 지속적인 공격을 유지하고 있다고 설명했다.

아울러 ESRC는 특정 정부가 연계된 APT 조직들에 대한 위협이 증가하고 있는 지금, 보다 체계화된 분석 및 대응이 요구된다는 설명이다. 이어 국가사이버안보 차원의 노력과 투자가 중요한 시점이라면서, 관련 분야 종사자 중 혹시라도 의심스러운 이메일을 발견하면 이스트시큐리티 ESRC로 언제든지 연락해 달라고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  언더그라운드 랜섬웨어, 텔레그램에 탈취 정보...

• 2

  [기획특집] 에스원과 SK쉴더스, KT텔레캅...

• 3

  “제가 보낸 DM 누르지 마세요”... 유명...

• 4

  디스코드 봇에 숨겨진 RAT 악성코드... ...

• 5

  [인터뷰] 에이앤티코리아 이동식 대표 “협력...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [기획특집] 국내 보안시장의 해외 영상보안 ...

• 3

  새롭게 등장한 랜섬웨어, 독특하게 프리BSD...

• 4

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 5

  [한국정보공학기술사 보안을 論하다-7] 데이...

• 1

  언더그라운드 랜섬웨어, 텔레그램에 탈취 정보...

• 2

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 3

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 4

  [한국사이버안보학회 칼럼] 미국의 선제적 방...

• 5

  깃 설정파일 노리는 대형 캠페인 적발돼