특정 국회의원실의 가상화폐 법안자료로 위장한 표적공격 주의
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2018년 02월 01일 한국의 특정 국회의원실에서 배포하는 자료로 사칭한 스피어 피싱(Spear Phishing) 공격이 발생했습니다. 주요 공격 대상자는 가상화폐 거래소를 활용하는 이용자입니다.
▶ 오퍼레이션 아라비안 나이트 공격그룹 글로벌 활동 확대
▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협
▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'
▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석
▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속
발신자는 마치 국회에서 작성한 대외비 내부문서로 가장했으며, '국회 가상화폐 법안자료.rar' 파일을 첨부한 해킹 메일을 특정 가상화폐 거래소 회원 대상으로 유포했습니다.
[그림 1] 국회 의원실 사칭의 악성 이메일 화면
이메일에는 암호화된 압축 파일이 첨부되어 있고, 본문에는 마치 국회 의원실에서 발송한 공식 내용처럼 위장하고 있습니다. 압축 파일에 사용된 암호는 '비트코인1!' 입니다.
특히, 이메일 본문에는 국회 내부문서라 일반 컴퓨터에선 폰트가 정상적으로 보여지지 않을 수 있다고 현혹하면서 이용자로 하여금 악성 매크로(Macro) 기능을 실행하도록 컨텐츠 허용을 유도하고 있습니다.
압축 파일 내부에는 두개의 MS 워드 문서가 암호화된 상태로 첨부되어 있습니다.
[그림 2] 압축 파일 내부에 포함되어 있는 악성 문서 화면
더불어 메일 하단에는 대외비 문서라 유출에 유의하라는 표현과 함께 압축 파일의 암호가 포함되어 있는데, 문장 중에 '유의'라는 표현 대신에 '류의'라는 단어가 사용되었습니다.
'류의'라는 표기법은 단순 오타일 수도 있지만, 북한어의 표현으로 해석될 수도 있습니다.
[그림 3] 류의 북한어 표현 기법 화면
첨부되어 있는 2개의 MS Word 파일은 실행 시 다음과 같이 실제 일부 글자(폰트)가 깨져서 나타납니다. 공격자는 의도적으로 일부 문자가 비정상적으로 보이도록 만들어 문서를 열어본 사용자로 하여금 악성 매크로를 실행하도록 유도하는 것입니다.
[그림 4] MS 워드 문서를 실행했을 때 보여지는 화면들
두개의 워드 문서는 원본을 작성할 때와 수정할 때 'PiterpanN' 이름의 동일한 컴퓨터 계정명이 사용한 흔적이 존재합니다.
[그림 5] 워드 문서의 만든이와 마지막 수정한 사람의 계정명
내부에 포함되어 있는 매크로 코드는 한국의 특정 웹 사이트로 제어명령을 받도록 제작되어 있습니다. 해당 웹 사이트는 외부의 불법 침해사고를 입어 공격자의 악의적인 명령제어 서버로 악용된 것입니다.
[명령 제어 서버 주소]
hxxp://kjinnong.com/jdboard/boardbank/board/bbs/log.php
[그림 6] 워드 파일에 포함되어 있는 악성 매크로 코드 화면
해당 매크로 코드가 정상적으로 작동되면 한국의 명령제어서버(C2)로 통신을 시도하고, 추가적인 악성 프로그램에 노출되어집니다.
그런데 위에서 살펴본 바와 같이 악성 문서를 제작한 'PiterpanN' 계정은 과거 한국을 상대로 진행됐던 다수의 침해사고에서 자주 발견이 되던 계정과 동일합니다.
특히, 2015년 한국의 방위산업체를 상대로 진행된 스피어 피싱 공격에서도 포착된 바 있고, 2016년 한국의 국방연구기관, 2017 한국 외교관련 정부기관에서도 발견된 바 있습니다.
[그림 7] 2015년 방위산업체를 대상으로 진행됐던 스피어 피싱 공격 화면
2015년 한국 방위산업체 대상의 공격에 사용된 엑셀 문서 파일의 속성에서도 동일하게 'PiterpanN' 이라는 계정이 사용된 것을 확인할 수 있으며, 국내에서 발생했던 다수의 사건에서도 반복적으로 나타납니다.
[그림 8] PiterpanN 계정을 사용한 악성 엑셀문서 파일 속성 화면
국회의원실을 사칭해 유포된 최종 악성 파일은 다음과 같이 미국의 특정 서버로 통신을 시도해 공격자의 추가 명령을 대기하게 됩니다.
199.180.116.228 (미국)
[그림 9] 미국의 특정 서버로 통신을 시도하는 코드 화면
또한, 2018년 국회의원실을 사칭해 설치된 악성 코드와 2016년 국방분야 관련 공격에 사용된 악성 코드의 암복호화 알고리즘을 비교해 보면 다음과 같이 같은 형식을 사용하고 있다는 것을 알 수 있습니다.
[그림 10] 2016년 국방 관련 악성 코드(좌)와 2018년 국회의원실 사칭 관련 악성코드(우) 알고리즘 비교화면
이처럼 과거 한국의 기업과 기관 등을 상대로 했던 스피어 피싱 공격이 2018년 상반기 가상화폐 거래 분야를 대상으로도 은밀한 공격을 수행하고 있다는 점을 알 수 있습니다.
공격자는 신뢰기반 맞춤형 공격을 수행하기 위해 사회공학기법을 지능적으로 활용함과 동시에 악성 매크로 기능을 빈번하게 사용하고 있다는 것을 확인할 수 있습니다.
따라서 이메일 이용자분들은 이런 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요하며, 첨부파일이 있는 이메일의 경우는 항상 주의를 기울이는 보안 습관이 필요합니다.
알약에서는 Trojan.Downloader.W97M.Gen 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.