[스페셜 리포트] 탈륨(김수키)과 코니 APT 그룹의 연관관계 분석 Part3
2020년 한해 대한민국은 다양한 사이버 침해사고를 당했고, 아직도 크게 나아지진 않았습니다. 북한, 중국 등이 배후로 의심되거나 실제 연계된 것으로 조사된 정부차원의 사이버 안보 위협은 이제 일상화 됐다해도 전혀 과언이 아닙니다.
이런 위협은 한국의 발전된 인터넷 인프라와 함께 우리 실생활 가깝게 도사리고 있지만, 사이버 공간의 특성상 쉽게 인지하거나 체감할 수 없습니다. 따라서 평소 보안의 중요성과 경각심을 유지하는건 어찌보면 어려운 것이 당연합니다.
해당 유형의 초기 침해사고는 내부 기밀자료 탈취 목표로 주로 정부나 공공기관, 기반시설에 집중된 경향이 있었지만 지금은 각종 민간단체와 특정기업을 넘어 불특정 다수의 국민들까지 위협에 노출되고 있는 실정입니다.
이처럼 국내외 민간분야에서 발생한 다양한 침해사고는 보통 민관에 속한 전문가들의 철저한 조사와 검증이 진행됩니다. 수집된 침해지표와 흔적들간의 고유한 규칙이나 역학관계를 연구하고 베일에 쌓인 실체를 규명하게 됩니다.
조건에 따라 사용하는 표현이나 문구에 다소 차이가 있지만, 위협 행위자의 소속이나 국가를 분류하는데 오랜 연구와 집중이 필요하고, 악성 프로그램은 기본이고 사이버 작전에 참여한 조직의 인물에 집중해야 하는 이른바 휴먼 인텔리전스 개념을 강조하는 이유입니다.
◇ '탈륨(Thallium)' & '코니(Konni)' 위협 배경
ESRC는 최근 지능형지속위협(APT) 조직을 추적 분석하면서 몇가지 흥미로운 단서들을 확보했습니다.
먼저 미국 마이크로소프트(MS)사가 2019년 말 법원에 정식 고소하며 명명된 '탈륨(=김수키)'이라 불리어지는 APT 조직이 지난 2017년 시스코 탈로스를 통해 알려진 '코니' 조직과 동일한 C2 인프라를 사용한 정황이 포착됐습니다.
참고로 약 1년 전쯤 '[스페셜 리포트] APT 캠페인 'Konni' & 'Kimsuky' 조직의 공통점 발견 (2019-06-10)' 제목으로 코니와 김수키 조직간의 유사 분석사례를 처음 공개한 바 있습니다.
이후 '코니(Konni) APT 조직, 안드로이드 스파이 활동과 김수키 조직 유사성 분석 (2019-08-24)' 내용을 추가로 발표하였습니다.
이런 사례들이 단순 우연의 일치인지 아니면 치밀하게 계획된 조작(False Flag)인지 여부는 더 많은 연구와 질문이 필요합니다. 다만, 우리는 실제 위협 현장에서 확보되고 목격된 자료 기반의 기술적 분석을 통해 본질과 실체에 좀더 접근해 보고자 합니다.
지난 11월 06일 마치 한메일 Daum 고객센터에서 보안용도로 발송한 것처럼 위장한 계정 탈취 목적의 악성 이메일이 유포됐습니다. 해당 이메일 본문 링크에는 위협 행위자의 실수로 인해 'hanmail' 주소가 아닌 'naver.midsecurity[.]org' 주소로 연결을 시도합니다.
[그림 1] 고객센터로 사칭해 발송된 계정 탈취용 악성 이메일 화면
초기 공격 절차에 간혹 이런 실수들이 종종 목격되는데, 피해자 인터뷰를 진행해 보면 평소 연결되는 사이트는 무관심하거나 세심하게 살피지 않는 답변이 많고 실제 피해로 이어진 경우도 적지 않습니다.
저희는 해당 피싱 서버를 면밀히 조사하는 과정에서 위협 행위자가 한메일 위장 주소도 미리 준비해 놓았던 것을 확인했습니다. 그리고 한메일과 네이버로 위장한 것 외에 아이피 주소도 연결돼 있었습니다.
- naver.midsecurity[.]org
- daum.midsecurity[.]org
- 211.104.160[.]79 (KR)
[그림 2] 다양한 주소로 구축돼 있던 피싱 웹 페이지 화면
위협 행위자는 이외에도 실수를 더 하였는데, 바로 공격자의 서버 내부 구조가 일정 기간 외부에 노출되도록 설정을 잘못 한 것입니다. 저희는 노출된 기간 동안 공격자의 서버를 외부에서 확인할 수 있었습니다.
[그림 3] 디렉토리 리스팅(Directory Listing) 취약 화면
이곳을 보면 매우 많은 폴더가 만들어져 있는 것을 알 수 있는데, 한국 뿐만 아니라 러시아 피싱목적의 사이트 등이 있는 것도 확인할 수 있습니다.
더불어 암호화폐 종류 중에 하나인 써미츠(Summitz) 코인 거래와 관계된 고소위임장 문서, 유엔인권최고대표사무소 OHCHR (Office of the United Nations High Commissioner for Human Rights) 피싱, 바이든 시대 한국의 대외 전략 미끼 등의 데이터를 공격에 활용한 흔적이 남았습니다.
[그림 3-1] 공격자 서버에 숨겨져 있던 피싱 재료 화면
◇ 전형적 피싱 공격 재래식 무기의 위험성
위협 조직들이 사용하는 유명 기업 사칭 피싱 공격은 매우 고전적이고 단순해 보이지만, 실제 그 공격효과와 피해자 범위는 나름 높음으로 진단됩니다.
이메일 수신자의 심리를 교묘하게 파고들어 보안 위험성을 안내하는 척 현혹해 접근을 수행하는데 정말 예상보다 많은 분들이 이 공격에 쉽게 노출되고 있는 것이 현실입니다. 그리고 피싱 화면이 안내하는 과정에서 변경 전후 입력되는 암호가 실제 서비스와 연동돼 함께 유출되고 있기 때문에 자신이 직접 변경한 암호인 점에 의심을 덜 하게 됩니다.
계정 탈취가 진행된 후 위협 행위자는 이메일에 무단 로그인하는데 한국 이메일 서비스의 경우 해외 로그인을 차단하는 경우가 많아 한국내 VPN 등 공격 거점을 지능적으로 활용해 접속합니다.
그리고 POP3/IMAP 이메일 수신 프로토콜 기능을 통해 외부에서 수신되는 이메일을 은밀히 전달받아 노출되기 전까지 수신되는 이메일을 원격에서 모두 염탐하게 됩니다. 따라서 자신이 사용하는 이메일 환경 설정에 POP3/IMAP 사용여부를 확인하고 본인이 설정한 것이 아니라면 비 활성화 후 암호를 재차 변경하는 과정이 필요합니다.
거듭 강조하지만 이러한 유사 피싱 공격에 암호가 노출된 경우 반드시 POP3/IMAP 사용중지와 암호 변경을 함께 진행해야 보다 안전하며, 변경 이전/이후 설정한 암호 모두가 위협 조직에 함께 유출되니 기존에 쓰지 않았던 예측하기 어려운 신규 암호를 지정해야 합니다.
한국에서 사용하는 다양한 이메일 서비스를 이용한 피싱이 기승을 부리고 있고, 발신지 주소 조작을 위해 공개된 PHPMailer 등을 직접 구축해 사용하고 있기도 합니다.
한국에선 굉장히 많은 포털 회사 사칭 이메일 공격들이 펼쳐지고 있는데, 지난 05월달 실제 사례를 하나 더 살펴보겠습니다. 이번에는 대북분야에 종사하는 인물을 대상으로 수행된 네이버 사칭 공격이고 발신지 주소와 피싱 서버의 도메인 주소가 비슷하게 쓰였는데 발신지는 조작된 가짜 도메인 입니다. IP 주소는 특정 시점에 따라 다르게 사용된 Passive DNS 자료입니다.
- servicenidnaver[.]com
- 27.255.77[.]110 (KR)
- 27.255.79[.]205 (KR)
- 211.104.160[.]84 (KR)
- 211.104.160[.]88 (KR)
[그림 4] 대북분야 관계자에게 시도된 해킹 이메일 화면
◇ 탈륨(Thallium) 조직과 동일한 서버 인프라를 공유하는 코니(Konni)
해킹 공격 캠페인은 일정시간 동안 이루어져, 공격자는 피해자의 자원을 장악하기 위해 추가 악성 파일을 몰래 다운로드 시킵니다. 이 때 호스트 서버의 IP 주소와 Domain 등 네트워크 정보는 위협 분석에 상당히 의미 있는 자료로 활용됩니다.
하지만 DNS 쿼리 자체가 휘발성 정보라 기록이 오래 남지 않아 이를 해결하기 위하여 Passive DNS 자료로 별도 기록 보관하고 있습니다.
이번 피싱 사례에서 발견된 'servicenidnaver[.]com' 서버로 쓰인 Passive DNS 주소들은 다음과 같습니다.
(27.255.79[.]205)
cloudsecurityservice[.]net | login.daum-protect[.]com | mail.resetpolicy[.]com |
mail.servicenidnaver[.]com | midsecurity[.]org | resetpolicy[.]com |
rnaii[.]com | rneail[.]com | securitycounci1report[.]org |
servicenidnaver[.]com | un.midsecurity[.]org | N/A |
(27.255.77[.]110)
bignaver[.]com | cloudnaver[.]com | daum.resetprofile[.]com |
dhfj.naverdns[.]co | login.daum-protect[.]com | nid.daum-protect[.]com |
resetprofile[.]com | servicenidnaver[.]com | N/A |
(211.104.160[.]84)
helpnaver[.]com | servicenidnaver[.]com | N/A |
(211.104.160[.]88)
cloudnaver[.]com | servicenidnaver[.]com | N/A |
그런데 자세히 보면 2020년 11월 발견된 피싱 서버 'midsecurity[.]org' 주소가 이미 다른 아이피 주소에서 사용된 이력을 확인할 수 있습니다. 그러면 11월 당시 사용된 '211.104.160[.]79' 주소의 Passive DNS 정보를 살펴 보겠습니다.
(211.104.160[.]79)
daum.midsecurity[.]org | midsecurity[.]org | naver.midsecurity[.]org |
netsecurityservice[.]com | securitycounci1report[.]org | N/A |
위협 행위자가 등록한 것으로 관측되는 'naver.midsecurity[.]org' 도메인은 지난 11월 17일 [바이든 시대, ‘북한 비핵화 협상과 체제 안전 내용’ 담은 APT 공격 징후 발견] 내용으로 보고된 바 있습니다.
앞서 기술한 바와 같이 해당 C2 서버에는 기존 '탈륨(=김수키)' 조직이 사용한 인프라가 발견 됐고, 다시 '코니' 조직과도 연결됐습니다.
매우 복잡한 과정을 거쳐 두 APT 조직간의 위협 인프라 공유를 확인했습니다.
스피어 피싱 공격에 사용한 악성 MS Word DOC 파일이나 APK 안드로이드 악성앱 등의 종합적 전술, 기법 및 절차(TTPs / Tactics, Techniques, and Procedures)가 정확히 일치하고 있습니다.
2019년 04월 17일 [한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개] 내용을 비교하면, 참고가 될 것입니다.
당시 사용된 'tiger199392@daum.net' 계정은 'Aji 917' 계정으로 여러 프리랜서 사이트에서 국내외 비트코인 거래소나 악성 프로그램, 웹 사이트 등을 개발 대행 하는 프로그래머로 활동한 것이 포착됐고, 카카오 톡이나 텔레그램 그리고 스카이프 등을 사용했습니다.
연이어 2019년 08월 24일 [코니(Konni) APT 조직, 안드로이드 스파이 활동과 김수키 조직 유사성 분석] 자료를 통해 'bitcoin014@hanmail.net', 'bitcoin018@hanmail.net', 'bitcoin024@hanmail.net', 'bitcoin025@hanmail.net' 등 다수는 'Swoonchul Kwon', 'Annie Cho', 'Dongil Song' 등의 이름이 관찰됐습니다.
'midsecurity[.]org', 'netsecurityservice[.]com' 도메인은 '211.104.160[.]79' 아이피와 연결되고, 'netsecurityservice[.]com' 도메인은 'psh1968216@daum.net' 'Park Sanghak' 이름으로 등록됐습니다.
이외에도 일부 도메인의 경우 마치 러시아 또는 일본 인물 정보처럼 등록된 것이 확인 됐는데, 흥미롭게도 모두 동일한 '+779629259601' 전화번호를 사용합니다. 그리고 이 전화번호는 'psh1968216@daum.net' 인물도 사용합니다.
- motegi21@yahoo.com
- evgeny_varganov@mail.ru
- evgeny_mono@protonmail.com
- p1otnikovan@mail.ru
[그림 5] 탈륨 조직이 사용하는 위협 인프라 흐름도
ESRC는 탈륨 조직이 사용한 광범위한 위협 인프라 공유 현황을 조사하는 과정 중에서 몇가지 중요한 단서를 확보했습니다. 위협 행위자들이 사용한 데이터가 방대한 관계로 편의상 일부 핵심 영역만 기술하고자 합니다.
먼저 'naver.midsecurity[.]org' 도메인을 C2서버로 사용한 '바이든 시대 북한 비핵화 협상의 또 하나암초 - 북한 체제안전 보장문제.doc' 악성 파일의 경우 몇 단계를 거쳐 이용자 정보를 수집하고, 선택적으로 'KB2999226.txt, KB2534111.txt' 파일을 내려 보낸 정황을 확인했습니다.
[그림 6] C2 서버에 숨겨져 있던 Base64 인코딩 파일 화면
텍스트 파일 중 일부는 Base64 코드로 인코딩된 상태로 디코딩 과정을 통해 Cab 압축 파일로 변환됩니다. 그리고 압축 파일 내부에는 5개의 추가 파일이 존재합니다.
- install.bat
- msopp.dll
- msvcp.dll
- msvcp.ini
- zx.bat
[그림 7] 압축 파일 내부 모습
이번 탈륨 조직의 서버 인프라를 조사하며 확인한 악성 파일과 지난 05월 코니 시리즈의 악성 코드 명령 체계를 비교해 보면, 파일명은 달라졌지만 배치파일 명령이 동일한 것을 확인할 수 있습니다.
더불어 DLL 악성 파일의 Custom Base64 코드 방식도 유사하게 사용된 것으로 분석됐습니다.
[그림 8] 탈륨 인프라에서 발견된 파일과 코니 시리즈 악성 명령 비교
[그림 8-1] 코니(좌측)시리즈와 탈륨(우측) 서버에서 발견된 파일 비교
이외에도 탈륨 서버 인프라에서는 안드로이드 악성앱 'refund.apk' 파일과 탈취된 감염자 로그 등이 다수 발견 됐는데, 기존 코니 시리즈와 함수 및 통신 방식이 일치한 것으로 확인됐습니다.
이외에도 해당 서버에서는 다음과 같은 악성앱이 유포된 이력도 존재합니다.
- midsecurity[.]org/payment/prize.apk
[그림 9] 탈륨 서버와 통신하는 'refund.apk' 코니 시리즈 악성 앱
'cloudsecurityservice[.]net' 서버에서 유포된 'json.apk' 악성앱은 'naver.midsecurity[.]org' 서버와 통신하는 'refund.apk' 앱과 기능이 대부분 동일하며, C2 서버도 서로 연결이 됩니다.
[그림 10] refund.apk (좌측) 앱과 json.apk (우측) 악성앱 코드 비교
악성앱과 관련된 내용은 이미 탈륨 조직과 코니 조직과의 연관성을 [코니(Konni) APT 조직, 안드로이드 스파이 활동과 김수키 조직 유사성 분석] 글을 통해 자세히 기술한 바 있습니다.
앱명 | 패키지명 | 서명날짜 (KST) | 서명자 | 아이콘 | MD5 | C2 |
DaumProtect.apk | app.project.appcheck | 2019/04/05 01:25:18 | Daum |
| 29506d03bf3f06df62089bed5af58906 | 37.72.175[.]223 |
KakaoTalk.apk | app.project.appcheck | 2019/03/31 20:14:07 | Jhon |
| 6c290d6ddbe317844a4dccdc2259c6c1 | 193.148.16[.]45 |
KakaoTalk.apk | com.android.update | 2019/09/17 21:49:53 | Henry |
| 2487a29d1193b5f48d29df02804d8172 | 2.56.151[.]8 |
NaverProtect.apk | app.project.appcheck | 2019/03/27 18:00:00 | Jhon |
| 9c025c3ff6ec04b7e67c9553ef4e2415 | 193.148.16[.]45 |
DaumProtect.apk | app.project.appcheck | 2019/03/27 18:00:00 | Jhon |
| 8384803283c01a529eeaec8128e6a20a | 193.148.16[.]45 |
N/A | com.android.update | 2019/09/17 21:49:53 | Henry |
| 9e9745415793488ecf0774c7477bf2ae | 2.56.151[.]8 |
QKSMS.apk | com.moez.QKSMS | 2019/03/21 15:45:10 | Jhon | N/A | d503c3d182a632ac2c009c30e70951f2 | 193.148.16[.]45 |
CapMarket.apk | com.xiongxh.cryptocoin | 2019/02/28 17:10:32 | Jhon |
| ff9f17fb1dd02186ba461586a1734212 | 193.148.16[.]45 |
BithumbProtect_v1.0.5.apk | app.project.appcheck | N/A | N/A |
| c1063cfa402e64882d41f88ada87c8d1 | manage.app-wallet[.]com |
refund.apk | com.daska | 2020/11/12 20:11:59 | andrei lankov |
| 6bda04173d5f8491348e33cabc98f1b8 | naver.midsecurity[.]org |
json.apk | com.json | 2019/12/14 00:57:27 | Android |
| 0ce1648ff7553189e5b5db2252e27fd5 | cloudsecurityservice[.]net (27.255.79[.]205) |
ESRC는 이번 탈륨 조직이 사용한 서버 인프라를 조사하는 과정에서 의도적인 거짓 표식(False Flag) 가능성도 검토를 진행했으며, 여러 파일들이 업로드된 시점과 PHPMailer, 공격에 사용된 기술 등을 종합적으로 분석했습니다.
특히, 다양한 호스트와 연결된 기록들은 단기간 정교하게 조작할 수 없다는 점과 이전 사례들과 마찬가지로 TTPs 등의 유사성이 높은 점에 주목했습니다.
[그림 11] 탈륨 조직이 사용한 DOC 악성파일과 코니 조직이 사용한 APK 악성앱의 공용 인프라
다양한 아티팩트(Artifacts)뿐만 아니라, 시의성에 적절한 신속한 분석이 위협 행위자 배후의 전략전술을 파악하고 대응하는데 도움이 될 것입니다.
이번 사례에서 '코니(Konni)'와 '탈륨(Thallium)' 조직의 연계 가능성이 한단계 더 높아졌다는 점에 주목하고 지속적인 연관관계 관찰이 필요해 보입니다.
마지막으로 공격간 의도하지 않게 남겨진 각종 디지털 증거 및 단서를 통해 위협배후에 보다 근접할 수 있는 기회로 삼고, 공격성이 갈수록 증대되고 있다는 점에 각별한 주의가 요구됩니다.
특히, 컴퓨터 뿐만 아니라 스마트 디바이스 보안강화를 위해 신뢰하기 어려운 앱을 설치하거나 URL 링크를 함부로 클릭하지 않도록 하며, 모바일 보안제품도 생활화하는 노력이 필요합니다.