탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석
지난 08월 10일 구글 플레이 공식 마켓을 통해 안드로이드 기반 악성 암호화폐 지갑 앱(v1.0.4)이 일정기간 유포되었습니다. 이는 정상적인 소프트웨어 배포 절차에 위협요소를 추가 업데이트하는 일종의 공급망 공격 형태 입니다.
이 사건으로 인해 특정 암호화폐 이용자들의 코인이 무단 출금되는 피해가 다수 보고되었습니다.
한편 비슷한 시기 윈도우 운영체제 기반 지갑 설치 프로그램으로 사칭한 악성 파일 변종들도 발견되며, 관련 이슈에 대한 공지문이 다음과 같이 게시됩니다.
08월 31일부터 윈도우용 악성 파일도 유포되었고, 09월 24일에는 공격자가 직접 이메일로 악성 파일을 전파하는 등 공격은 일정 기간 지속되었습니다. 특히, 08월 31일 유포된 악성 파일은 구글 바이러스 토탈에 검색된 이력이 하기와 같이 존재합니다.
[그림 1] 코인 무단 출금 이슈 공지 화면
▷ [구글 바이러스토탈 이력]
◇ 공급망과 다차원을 활용한 교묘한 APT 공격
우선 윈도우용 악성파일에 대해 살펴보면 다음과 같습니다.
변종에 따라 조금 씩 달라지긴 하지만, 공격자는 대체로 동일한 수법으로 정상 파일을 변조했습니다.
마치 공식 배포되는 지갑 설치프로그램이나 펌웨어 업데이트 프로그램처럼 위장했지만, 내부에 포함된 파일들의 설정을 변조해 해커가 지정한 명령제어(C2) 서버로 통신을 하도록 만들었습니다.
변조되기 전후를 살펴보면 정상 파일의 버전(v1.4.0)에서 악성 파일의 버전(v1.4.1)으로 업데이트된 것을 확인할 수 있으며, 파일이 변경된 시점은 2020년 08월 26일 입니다.
[그림 2] json 파일 변조 전후 비교 화면
변조된 악성 파일 변종은 종류에 따라 날짜가 다음과 같이 다르지만, 거의 비슷한 시기로 설정되어 있습니다.
[그림 3] 지갑 프로그램 위장 악성 파일 내부에 포함되어 있는 변조 파일 날짜
그리고 일부 'landing-2.bin' 파일 내부를 보면 정상 코드에는 존재하지 않는 'wallet.hdac-tech[.]com' C2 서버가 지정되어 있습니다.
C2 서버 | 할당 IP 주소 | 도메인 생성 날짜 | 도메인 등록 (호스팅) |
wallet.hdac-tech[.]com | 44.227.76.166 | 2020-08-14 | porkbun.com |
[그림 4] 악성 파일에 의해 변조된 파일 내부의 주소 화면
이외에도 다른 변종 코드에서는 다음과 같은 주소들이 사용되었고, 공격에 사용된 이메일 주소도 포함됩니다.
패키지명 / 파일명 / 이메일 | C2 서버 | IP 주소 | 도메인 생성 | 호스팅 |
com.hyundaipay.hdac.apk | kasse-v1.hdac-wallet[.]com | 44.227.76.166 | 2020-08-09 | porkbun.com |
kasse_setup.exe | kasse.hdac-tech[.]com | 44.227.76.166 | 2020-08-14 | porkbun.com |
KASSE.exe | update.hdac-tech[.]com | 44.227.76.166 | 2020-08-14 | porkbun.com |
HdacWallet.exe | wallet.hdac-tech[.]com | 44.227.76.166 | 2020-08-14 | porkbun.com |
help@hdactech.info | hdactech[.]info | 44.227.65.245 | 2020-09-23 | porkbun.com |
◇ 위협 배후는 특정 정부와 연계된 해킹조직 탈륨!
구글 플레이 공식 마켓을 통해 유포된 안드로이드 악성앱은 다음과 같은 아이콘과 정보를 가지고 있으며, Passcode 탈취 시도 등의 악성 행위를 수행합니다.
아이콘 | 패키지명 | 버전 | 생성일시 | C2 서버 |
| com.hyundaipay.hdac | Ver. 1.0.4 / 7 | 2020-08-10 | kasse-v1.hdac-wallet[.]com |
안드로이드 악성앱의 경우 08월 09일 C2 서버가 생성되고, 바로 다음 날 리패키징 앱을 만든 것으로 분석됩니다. 참고로 호스팅 서버가 해외 기준이라 일부 지역에 따른 시차가 발생할 수 있습니다.
[그림 5] 안드로이드 악성앱 내부 명령어 화면
안드로이드 악성앱의 경우 위협 배후를 특정하기 위한 요소가 제한적이며, 명령제어(C2) 서버의 등록정보가 유사하다는 점에 주목 됩니다.
그리고 윈도우용 악성 파일 시리즈 중에 지난 06월 발견된 탈륨 조직의 악성 코드와 동일한 암호화 기법 등이 적용된 것이 확인 되었습니다.
▲ 탈륨(Thallium)조직, 청와대 보안 이메일로 사칭한 APT 공격 수행 (2020. 06. 19)
제작자는 주요 명령에 사용하는 함수명과 명령제어(C2) 서버 주소 등을 고유한 암호화 알고리즘으로 숨겨 두었는데, 다음과 같이 문자열 앞부터 32바이트까지 반복해 1차 키 테이블로 선언 합니다.
물론 여기서 문자는 10진수 이기 때문에 32바이트 이지만, 실제 연산될 때는 16진수 테이블 형태로 16바이트가 사용됩니다.
그리고 나머지 문자열 값들을 2차 키 테이블로 만들고 가장 첫 문자는 00을 포함한 3개, 나머지는 3개씩 블럭으로 XOR 논리 연산으로 복호화를 진행하게 됩니다.
[그림 6] 암호화된 문자열 복호화 과정
이번 암호화폐 지갑 관련 악성 파일 중 지난 06월에 발견된 탈륨 조직의 악성 파일 문자열 암호화 방식과 뮤텍스 '<*IMPOSSIBLE*>' 이름이 정확히 일치하고 있습니다.
[그림 7] 탈륨 조직이 사용한 암호화 알고리즘을 사용한 코드 비교
ESRC가 현재 분석 중인 다른 사례까지 포함하면 탈륨 조직의 사이버 위협 활동이 국내외에서 다양하게 수행되고 있다는 것을 알 수 있습니다.
특히, 이번처럼 암호화폐 거래 관련 지갑 정보를 노린 공급망 공격이 구글 플레이 공식 마켓을 악용되는 등 갈수록 지능화, 고도화되고 있는 추세입니다.
또한, 정상 프로그램에 악성 코드를 넣어 교묘하게 바꿔치기 하거나 특정 이용자들만 겨냥한 표적형 APT 공격의 위험수위가 점차 증가하는 실정입니다.
따라서 이용자들은 신뢰할 수 있는 보안프로그램을 적극 활용하고, 의심스러운 이메일이나 파일을 목격할 경우 무심코 실행하거나 접근하지 말고 보안업체 등에 신고하는 등 보다 강화된 개인 보안 수칙 준수가 필요한 시기 입니다.
탈륨은 특정 정부와 연계된 전문화된 해킹 조직으로 국내외를 대상으로 다양한 사이버 작전을 수행하고 있으므로, 최근 발생했던 사례들을 확인해 유사한 위협에 노출되지 않도록 각별한 주의를 하시기 바랍니다.
▲ 탈륨 APT 위협 행위자들의 흔적과 악성파일 사례별 비교 분석 (2020. 10. 13)
▲ [스페셜 리포트] 미국 MS가 고소한 탈륨 그룹, 대한민국 상대로 '페이크 스트라이커' APT 캠페인 위협 고조 (2020-07-25)
▲ 탈륨 조직, 개성공단 근무자 연구와 아태 연구 논문 투고로 사칭한 APT 공격 주의 (2020-09-03)