김수키(탈륨) 조직, 코로나19 테마와 WSF 파일 기반 공격 주의
▶ 위협 배경
미국 마이크로소프트(MS)사는 작년 12월 말, 해킹 그룹인 ‘탈륨(Thallium)’을 고소하고, 그들이 악용한 웹 사이트 도메인을 통제했다고 전한 바 있습니다.
Microsoft takes court action against fourth nation-state cybercrime group
특정 정부와 연계된 것으로 알려진 탈륨이라는 해킹 그룹명은 김수키라는 조직명으로도 널리 알려져 있습니다.
이들 조직은 최근까지도 'Windows 스크립트 파일(.wsf)' 기반의 공격을 지속적으로 활용하고 있어 이용자들의 보다 세심한 주의가 필요해 보입니다.
공격자들은 사회적으로 관심도가 높거나, 공격 타깃의 유관분야 주제의 미끼를 만들어 APT(지능형지속위협) 공격을 수행하고 있습니다.
ESRC는 지난 19일 '김수키(Kimsuky) 조직, 청와대 보안 이메일로 사칭한 APT 공격 수행' 내용을 공개한 바 있습니다.
이때 발견된 'bmail-security-check.wsf' 스크립트와 같이 공격자들은 wsf 악성 파일을 지속적으로 활용하고 있고, 저희는 '블루 에스티메이트(Blue Estimate)' 캠페인으로 분류하고 있습니다.
김수키 또는 탈륨 조직의 APT 캠페인으로는 '블루 에스티메이트'와 함께 2019년 04월에 공개한 바 있는 '스모크 스크린(Smoke Screen)' 사례가 대표적이라 할 수 있습니다.
그리고 wsf 파일의 경우 'APT 캠페인 Konni & Kimsuky 조직의 공통점 발견' 리포트에서 다양한 사례를 확인할 수 있습니다.
▶ 코로나19(COVID-19) 테마를 이용하는 APT 공격 분석
ESRC는 최근 김수키(탈륨) 조직이 코로나19 바이러스 관련 내용으로 위장한 문서를 이용해 공격을 시도한 정황을 포착했습니다.
이들은 wsf 유형의 악성 스크립트를 이용해 공격을 시도했습니다.
스크립트 코드 내부에는 코로나19 관련 정상 hwp 문서 파일과 악성 dll 바이너리 파일이 Base64 코드로 인코딩되어 있습니다.
[그림 1] wsf 스크립트 코드 내부 화면
악성 스크립트가 실행되면 내부에 인코딩된 파일들이 'ProgramData', 'AutoPatch' 경로 등에 생성되는데, 정상적인 hwp 문서는 다음과 같은 화면을 보여주어 감염 사실을 인지하기 어렵게 합니다.
[그림 2] 2020 코로나 감염 관련 내용을 보여주는 화면
정상 hwp 문서가 보여지는 과정에 악성 dll 파일이 'C:\ProgramData\Software\Microsoft\Windows\AutoPatch' 경로에 생성되고 감염활동을 시작하게 됩니다.
[그림 3] 악성 'patch.dll' 파일이 생성된 모습
악성 파일은 'chanel-love.org-help[.]com' (92.249.44[.]201) 명령제어(C2) 서버로 통신을 시도하고, 감염된 컴퓨터의 맥 주소와 운영체제 정보 등을 전송합니다. 그리고 공격자 의도에 따라 추가 명령을 수행하게 됩니다.
chanel-love.org-help[.]com /temp/reading.php?userid=step_ok
chanel-love.org-help[.]com /?m=a&p1=(MAC 주소)&p2=(OS 버전)-Dropper-v3382363
[그림 4] 'patch.dll' 악성 파일의 C2 주소
ESRC는 김수키(탈륨) APT 조직이 매우 활성도 높게 사이버 위협활동을 수행 중이고, wsf 기반의 악성 스크립트 파일을 지속적인 위협 도구로 사용하고 있는 점에 주목하고 있습니다.
주로 이메일에 wsf 파일을 압축해 첨부하거나 URL 링크로 다운로드 및 실행을 유도하는 형태가 사용되고 있어 스크립트 파일 발견할 경우 각별히 주의해 주시기 바랍니다.
공격자는 org-help[.]com 도메인을 지속적으로 사용하고 있습니다.
92.249.44[.]201, 213.190.6[.]57 IP 주소가 사용되고 있으며, 도메인 등록자 이메일 주소는 'parksonghui1910@gmail.com'입니다.
[그림 5] kimsuky 도메인 정보 비교
이스트시큐리티는 알약 백신 제품에 해당 악성코드를 탐지하고 치료할 수 있도록 긴급업데이트가 완료된 상태입니다.
ESRC는 본 내용과 관련된 침해지표(IoC) 내용을 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 별도로 제공할 예정입니다.
▶ 김수키(Kimsuky) 조직, 청와대 보안 이메일로 사칭한 APT 공격 수행 (2020. 06. 19)
▶ 김수키(Kimsuky) APT 그룹, 과거 라자루스(Lazarus) doc 공격 방식 활용 (2020. 06. 11)
▶ 김수키(Kimsuky) 그룹, HWP, DOC, EXE 복합적 APT 공격 작전 (2020. 06. 02)
▶ '북한 내 코로나19 상황 인터뷰' 문건으로 사칭한 김수키 APT 공격 주의! (2020. 05. 29)
▶ 김수키 조직, 21대 국회의원 선거문서로 사칭한 스모크 스크린 APT 공격 수행 (2020. 04. 10)
▶ 국방부 출신 이력서를 위장한 김수키 조직의 '블루 에스티메이트 Part7' APT 공격 주의 (2020. 03. 23)
▶ 김수키 조직, 비건 미국무부 부장관 서신 내용으로 위장한 APT 공격 수행 (2020. 03. 03)
▶ 이력서로 위장한 김수키 조직의 '블루 에스티메이트 Part5' APT 공격 주의 (2020. 03. 02)
▶ 김수키, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020. 02. 06)
▶ 청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2' (2020. 01. 21)
▶ ‘통일외교안보특보 발표문건’ 사칭 APT 공격… 김수키(Kimsuky) 조직 소행 (2020. 01. 14)
▶ 김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격 (2019. 12. 04)
▶ 김수키(Kimsuky) 조직 소행 추정 ‘대북 분야 국책연구기관’ 사칭 스피어피싱 공격 발견 (2019. 10. 17)
▶ 북한 파일명으로 보고된 Kimsuky 조직의 '스모크 스크린' PART 3 (2019. 09. 27)
▶ 김수키 조직, 사이버 안전국 암호화폐 민원안내로 사칭해 APT 공격 수행 (2019. 05. 28)
▶ 김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시 (2019. 05. 20)
▶ 암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2 (2019. 05. 13)
▶ 한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (2019. 04. 17)