3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'
■ 금융 소프트웨어 위장 작전명 코인 매니저 (Coin Manager)
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
지난 2009년 7.7 DDoS 공격부터 2013년 3.20 금융사/언론사 전산망 대란, 2017년 한국 특정 가상화폐 거래소 공격까지 한국에서 발생하고 있는 주요 사이버 보안위협에는 다양한 공통점이 존재합니다.
해외의 보안업체들은 이 공격그룹에 대해 이른바 라자루스(Lazarus) 등의 고유 그룹명을 지정해 사용하고 있기도 합니다.
이들은 한국의 주요 정부기관, 언론사, 금융사, 대북단체, 민간기업 등 매우 다양한 분야에 걸쳐 수년 넘게 사이버 침투 활동을 유지하고 있으며, 지금도 현재 진행형이라 해도 절대 과언이 아닙니다.
[그림 1] 과거 주요 사이버 위협 사례
2014년에는 미국 소니픽쳐스의 내부 시스템을 공격한 바 있고, 2016년에는 방글라데시 중앙은행을 해킹한 주범으로 밝혀졌으며, 2017년에는 워너크라이 랜섬웨어를 유포했습니다. 이외에도 널리 알려지지 않은 유사 침해 위협 사례가 무수히 많이 존재합니다.
특히, 2017년 한해에는 랜섬웨어 유포, 가상화폐 거래소와 인터넷 뱅킹 해킹, ATM, PoS 기기 등 금융 전 분야에 걸쳐 대대적인 공격을 하고 있습니다.
그런 가운데 이 공격 조직이 개인 금융 소프트웨어로 위장한 공격을 수행 중인 것이 확인되었고, 작전명(Operation)을 '코인 매니저'로 명명하고 관련 내용을 일부 공개합니다. (TLP:White)
공격자들은 대규모 기반 공격을 준비하기 전에 다양한 거점 구축을 위한 사전 작업을 하거나 특정 공격 타깃에 대한 측면 공격 등을 일상적으로 수행하고 있습니다.
■ 개인 금융 소프트웨어로 위장한 악성 프로그램 등장
[그림 2] 개인 금융 소프트웨어로 위장한 악성 파일 화면
2017년 12월 18일 개인 금융 소프트웨어로 위장한 악성 파일이 식별됐고, 이 파일의 실제 생성 시간 역시 12월 18일입니다.
공격자는 한국의 특정 가상화폐 거래 관계자를 겨냥한 공격에 문서 파일기반 취약점 뿐만 아니라 유틸리티 프로그램을 위장한 공격도 도입한 것으로 보여집니다.
파일 빌드 타임 : 2017-12-18 12:05:58 (KST)
이 파일은 설치용 프로그램(SETUP)으로 위장하고 있으며, 설치 과정이 시작되면 즉시 감염 활동을 시작합니다. 악의적 코드는 리소스에 은밀히 숨기고 있고 실행 즉시 임시폴더 경로에 'lsm.exe' 파일명으로 실행됩니다.
[그림 3] 임시폴더 경로에 악성 프로그램을 설치하는 코드 화면
은밀하게 설치된 악성 프로그램은 3개의 명령제어 서버(C2)로 암호화 통신을 시도합니다. 각각의 IP 주소와 포트는 다음과 같고, 미국과 캐나다 서버가 사용됩니다.
- 50.205.193.11:443 (US)
- 208.52.184.13:443 (US)
- 184.107.209.2:443 (CA)
[그림 4] 명령 제어 서버 지도
공격자는 윈도우즈 명령 처리기 코드 조합을 특유의 방식으로 사용하는데, 이 코드 패턴은 2009년 7.7 DDoS 공격 시점과 2011년 4.12 금융사 내부 전산망 공격에서도 사용되었고, 그 이후 한국 정부 및 민간기업 공격에서 꾸준하게 사용됩니다.
이 기법은 한국 주요 기관 및 기업의 공격에 주로 활용되는 HWP 문서파일 취약점과 EXE 기반의 스피어 피싱(Spear Phishing) 공격에서 주로 등장한다는 공통점이 있으며, 2014년 미국 소니픽쳐스 공격 등에 사용된 외국 악성 파일에서도 종종 발견되고 있습니다.
[그림 5] 특유한 방식의 명령어 조합 방식을 사용하는 코드
■ 영문 직무기술서(Job Description) 문서로 위장한 표적 공격 사례와 연관성 비교
2017년 04월 말 전후로 DOC 문서 기반의 악성 파일 변종들이 해외에서 다수 보고된 바 있습니다.
매크로 기능을 활용해 내부에 임베디드된 PE 파일을 생성하고 실행하는 과정을 거치게 되는데, 그 중 하나의 사례를 살펴 보겠습니다.
해외에서 보고된 이 악성 프로그램은 우선 문서 포맷 자체가 한국어 기반으로 제작된 것을 알 수 있습니다.
[그림 6] 한국어 기반으로 제작된 DOC 문서 기반 악성 파일
만약 이용자가 해당 파일의 매크로(콘텐츠 사용)를 실행하게 되면 내부에 포함되어 있던 VBA 악성 매크로 코드가 작동하고, 임시폴더(Temp) 경로에 'leo.exe' 파일이 생성되고 실행됩니다.
물론, 화면에는 정상적인 직무 기술 관련 제안 문서 내용을 보여주어 이용자로 하여금 의심하지 않도록 만듭니다.
[그림 7] 악성 매크로 코드와 실행 시 보여지는 정상 문서 파일 화면
여기서 추가 생성된 'leo.exe' 파일은 2017년 04월 28일 오후에 제작되었고, EXE 파일 역시 한국어 기반의 언어로 만들어 진 것을 알 수 있습니다.
[그림 8] 한국어 기반에서 제작된 악성 파일 화면
한국이 아닌 해외가 공격 대상으로 추정되는 이 악성 파일은 흥미롭게도 한국어 기반의 윈도우즈 운영체제에서 개발된 흔적들이 다수 발견되었습니다.
그리고 이 악성 파일도 마찬가지로 감염 시 특정 명령제어(C2) 서버로 은밀히 SSL 암호화 통신을 시도하게 됩니다.
- 80.91.118.45:443 (AL)
- 181.119.19.56:443 (AR)
- 111.207.78.204:443 (CN)
- 184.107.209.2:443 (CA)
[그림 9] 'leo.exe' 악성 프로그램이 통신하는 서버 IP 주소 화면
그런데 여기서 통신하는 서버 중 캐나다 (184.107.209.2) 아이피 주소의 경우 특이하게도 2017년 12월 18일 제작된 개인 금융 소프트웨어 위장 악성 파일과 주소가 일치합니다.
더불어 2017년 08월에 추가 변종 시리즈가 해외에서 발견되는데 파일명은 'JD53323.doc' 입니다. 물론 지금 공개하는 변종 외에도 다수의 시리즈가 더 존재합니다.
이 워드 파일도 동일한 화면 구성과 VBA 매크로 코드 실행 유도를 하게 되며 생성되는 파일명은 'lsm.exe' 입니다.
개인 금융 소프트웨어로 위장했던 것과 동일하게 'lsm.exe' 파일 이름이 사용됩니다. 또, 여기서 공격자는 'ISkyISea' 계정명을 사용하는데, 다수의 변종에서 해당 계정은 연속적으로 식별됩니다.
그리고 이 악성 파일 역시 해외의 특정 서버로 은밀히 통신을 시도합니다.
- 41.131.29.59:443 (EG)
- 176.35.250.93:443 (GB)
- 64.86.34.24:443 (CA)
[그림 10] 명령 제어 서버 코드 화면
그리고 이 파일 역시 개인 금융 소프트웨어 위장으로 설치된 악성 프로그램과 동일하게 윈도우즈 명령 처리기 코드 조합을 특유의 방식으로 사용하고 있습니다. 여러가지 정황 상 동일한 제작자로 합리적 의심과 추정이 가능한 부분입니다.
[그림 11] 윈도우즈 명령 처리기 코드 조합 화면
두개의 파일을 직접적으로 비교해 보면 좀더 쉽게 각 코드의 유사성이 높다는 것을 파악할 수 있습니다.
[그림 12] 작성 함수 유사성 비교
[그림 13] 코드 흐름의 유사성 비교 화면
이처럼 2009년 부터 현재까지 동일한 공격 코드 기반의 악성 프로그램이 한국의 유명 기관 및 기업을 대상으로 끊임없이 공격을 시도하고 있다는 점을 명심하고, 의심스러운 이메일이나 URL 링크를 함부로 열어보지 않도록 각별한 주의가 필요하겠습니다.
특히, 금융관련 분야 종사자 분들은 개인 및 기업 보안에 보다 적극적인 관심과 다양한 노력이 필요한 시기입니다.
알약에서는 Backdoor.Agent.833024C 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.