[긴급] 김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생
2019년 05월 28일 한국의 유명 암호화폐 거래소의 이벤트 경품 수령 안내로 사칭한 APT 공격이 포착되었습니다. ESRC는 이 공격의 배후에 이른바 김수키(Kimsuky) 조직이 있는 것으로 확신하고 있습니다.
최근 비트코인이 원화로 약 1,000만원 선을 돌파했습니다. 이런 가운데 특정 정부의 지원을 받는 위협조직들의 활동이 증가하고 있어 각별한 주의가 요망됩니다.
아래 화면은 실제 공격에 사용된 이메일의 화면 중 일부로, 특정 암호화폐 거래소에서 발송한 것처럼 교묘하게 위장하고 있습니다.
[그림 1] APT 공격에 사용된 스피어 피싱 이메일 화면
공격벡터로 사용된 스피어 피싱 이메일은 발신지가 마치 한국의 유명 암호화폐 거래소가 보낸 것처럼 조작되어 있습니다.
하지만, 해당 이메일이 발신된 곳은 해외 호스팅 서버로 공격자가 발신지를 임의로 변경한 것입니다.
공격에 사용된 이메일에는 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 이름의 악성 문서 파일이 첨부되어 있습니다.
이 악성 문서 파일은 '김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시' 게시글을 통해 공개했던 기법과 일치합니다.
HWP 문서 포맷 내부에는 'BIN0001.eps' 포스트 스크립트 파일이 포함되어 있고, 암호 설정 기능이 적용되어 있습니다.
[그림 2] HWP 문서 내부 스트림 화면
'BIN0001.eps' 포스트 스크립트 파일내부에는 쉘코드와 인코딩된 EXE 파일이 포함되어 있으며, 취약점 코드가 정상적으로 작동하면 디코딩 과정을 거치게 됩니다.
[그림 3] EPS 내부 코드 화면
포스트 스크립트에 포함되어 있는 쉘코드는 특정 오프셋 위치부터 디코딩을 수행하게 됩니다.
[그림 4] 디코딩 코드 위치 화면
이렇게 디코딩 루틴 명령이 수행되면 특정 명령제어(C2) 서버로 접속해 추가 악성파일을 다운로드하게 됩니다.
[그림 5] C2 서버로 통신하는 명령어
- http://hellojames.sportsontheweb.net/post/download[.]php
- http://hellojames.sportsontheweb.net/post/post[.]php
ESRC는 통신시 사용하는 폼 데이터가 기존 김수키 조직이 사용한 것과 정확히 일치하는 것을 확인했습니다.
- WebKitFormBoundarywhpFxMBe19cSjFnG
[그림 6] 명령에 사용하는 문자열 코드
추가 파일은 XOR 0xFF 코드로 암호화되어 있으며, VMProtect 프로그램으로 패킹이 되어 있습니다.
최종 바이너리는 한국의 특정 한메일 계정으로 감염자 정보를 전송하게 되며, 공격자의 의도에 따라 다양한 피해로 이어질 수 있습니다.
ESRC에서는 이번 공격과 관련된 추가 침해지표(IoC)와 인텔리전스 분석자료 등을 '쓰렛인사이드(Threat Inside)' 서비스를 통해 별도로 제공할 예정입니다.
알약에서는 해당 악성코드들에 대한 긴급 업데이트를 완료한 상태이며, 'Exploit.HWP.Agent', 'Trojan.Agent.61400dat', 'Trojan.Agent.552960B' 등으로 탐지 및 치료가 가능한 상태입니다.
2018-02-12 | |
2018-05-28 | |
2018-11-27 | |
2019-01-03 | |
2019-01-07 | |
2019-02-21 | |
2019-04-03 | |
2019-04-17 | |
2019-05-13 | |
2019-05-20 | 김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시 |