금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 APT 공격 수행
■ '드래곤 메신저(Dragon Messenger)' APT 작전 배경
ESRC에서는 '금성121(Geumseong121)' APT 공격조직이 진행한 은밀한 모바일 APT 공격정황을 포착했습니다.
또한, 북한 이탈주민 후원 모금 서비스로 위장한 사이트를 개설해 악성앱(APK)을 유포한 사실도 드러났습니다.
해당 웹사이트는 워드프레스 기반으로 제작되었고, 도메인은 2019년 08월 23일 생성되어 10월 22일 업데이트된 것으로 조회됩니다.
지난 09월 11일부터 표시된 스냅샷을 타임라인으로 확인해 보면 타이틀에 북한 이탈주민 모금운동 사이트로 소개한 것을 알 수 있고, 10월에는 안드로이드 앱 설치 링크(구글 플레이)가 추가됩니다.
마치 북한 이탈주민 기부관련 웹사이트로 위장해, 주로 탈북민과 대북단체에 다양한 홍보로 앱 설치를 유도하고 있었습니다.
ESRC에는 이들이 배포한 앱에서 흥미로운 위협 단서를 다수 포착하였고, 동일한 공격자가 사용한 악성앱이 'DragonTask' 경로로 정보를 수집했던 점과 보안 메신저로 위장해 공격한 점을 결합해, 이번 오퍼레이션 이름을 '드래곤 메신저(Dragon Messenger)'로 명명했습니다.
[그림 1] 북한 이탈주민 모금운동 사이트로 위장한 화면 이력
상기 북한 이탈주민 모금운동 사이트가 개설된 이후 여러 채널(이메일, SNS)로 관련 앱 안내와 전파가 이뤄지는데, 주로 대북분야에 종사하는 사람들이 주요 타깃이 됩니다.
그리고 북한(North Korea)분야를 다루는 언론사 웹 사이트에 댓글 등으로 홍보가 이뤄지는데 이때 사용되는 아이디는 '데이비드 김'이고, 해당 사이트의 관리자로 소개하고 있습니다.
[그림 2] 북한 언론 관련 사이트에 올려진 댓글 화면
ESRC에서는 이 사이트를 조사하는 과정에서 북한식 표현이 다수 사용된 점에 주목했습니다. 물론, 탈북민 관련 사이트라 실제 그런 표현이 존재할 가능성도 충분합니다.
이에 해당 사이트에서 배포하는 안드로이드 앱과 동일한 관리자가 운영하는 유튜브(YouTube) 사이트에 대한 정밀 조사를 진행했습니다.
당시 구글 플레이 공식 마켓에는 2개의 앱이 등록되어 있었으며, 현재는 구글에서 삭제조치한 상태입니다.
해당 앱은 탈북민들이 생활상 문제를 공유하고 지원을 받을 수 있으며, 기부 서비스를 지정할 수 있다고 안내합니다.
[그림 3] 구글 플레이에 등록된 앱 화면
구글 플레이 공식마켓에 설명된 이미지에는 북한식 표현인 '계정 창조' 버튼이 존재합니다. 참고로 한국에서는 보통 '계정 생성'이라고 표현합니다.
그리고 화면 캡처할 때 쓴 스마트폰 단말기에는 유심칩이 없이 와이파이(Wifi)로만 접속한 것을 알 수 있습니다.
[그림 4] 구글 플레이에 등록된 이미지 중 일부
지난 10월 23일 해당 사이트에는 코스모스팜 소셜댓글 게시판 서비스가 존재했는데, 10월 28일 전후로 게시판이 사라진 상태입니다.
당시 사용되었던 게시판을 확인해 보면, 여러 사람들이 해당 서비스를 호응하는 식의 댓글과 유튜브 링크가 포함되어 있습니다.
[그림 5] 유튜브 사이트에 등록된 앱 사용 화면
유튜브에는 한국 스마트폰 화면의 동영상이 올려져 있으며, 해당 앱의 설치부터 사용방법을 안내해 주고 있습니다. 페이스북은 유튜브랑 동일한 계정으로 활동하고 있으며, 약 330여명 정도의 친구가 등록되어 있습니다.
페이스북을 통해 다양한 사전준비가 진행된 점을 충분히 짐작해 볼 수 있고, 친구관계인 이들은 잠재적인 위협대상이 될 수 있습니다.
[그림 6] 페이스북에 등록된 화면
유튜브에는 실제 앱 설치부터 사용법을 데모형태의 동영상으로 보여주고 있는데, 이 동영상을 상세히 살펴보면 동영상 제작시 '이미경' 이름과 'borisanatoly' 계정으로 로그인하는 것을 볼 수 있습니다.
그리고 '이미경'이라는 이름은 2019년 09월 20일 14시 10분에 앱 서비스 내부 게시물에 처음으로 글을 올린 인물입니다.
웹 사이트의 관리자로 보이는 '데이비드 김' 계정은 해당 게시글에 09월 20일 14시 20분 바로 댓글을 다수 등록하며, 거의 10분 간격으로 글을 주고 받습니다.
이외에도 구글 플레이 공식마켓 앱 정보에 '이미경' 내용이 담긴 화면도 그대로 사용되었다는 점을 보아 두개의 계정은 초기부터 밀접하게 연관되어 있는 것으로 볼 수 있고, 각각의 계정을 하나의 인물이 관리하고 있을 것으로 추정됩니다.
[그림 7] 앱 서비스 내부 대화 장면
APT 공격자는 커뮤니티 기반 탈북민 후원 앱을 제작해, 표적 대상자들이 한 곳에 모이게 만드는 고도의 전략전술 시나리오를 계획했습니다.
이를 통해 자신들이 구축한 특수 공간에 많은 탈북민들이 모이도록 만들고 대화정보를 은밀히 염탐하고, 실제 기부 및 광고를 통한 금전적 수익까지 노린 치밀함을 보였습니다.
ESRC에서는 '금성121(Geumseong121)' 조직의 이러한 활동이 앞으로 새로운 모바일 위협의 신호탄이 될 것으로 보고 있습니다.
■ 탈북민 후원 단체로 위장한 스마트 위협
공격배후는 다양한 형태의 악성앱을 제작 유포하였고, 주로 은밀한 비밀 대화 목적의 전용 메신저로 위장하였습니다.
그 중에 탈북민 후원용으로 위장한 이 앱은 구글 플레이 공식 마켓에 정식으로 등록되어 있었습니다. 초기 회원 가입시 카카오나 네이버가 아닌 별도의 이메일로 등록할 경우 'createUserWithEmailAndPassword' 메소드를 통해 사용자가 입력한 아이디와 비밀번호가 'Firebase'의 계정 생성 및 로그인에 사용됩니다.
그리고 앱의 'shared_prefs' 경로의 'config.xml' 파일에 평문으로 계정 정보가 저장되어, 보안위협에 노출될 위험성이 존재합니다.
[그림 8] 평문으로 저장된 로그인 계정 정보
ESRC는 구글 플레이 공식마켓에 등록된 마지막 버전의 경우, 초기 가입시 계정 노출 위협가능성 외에 추가적인 위협 근거를 확보하는데 분석을 집중하였고, 이 과정에서 다른 유사 코드를 발견했습니다.
추가 확보된 코드를 분석하는 과정에서 기존 '금성121' APT 조직의 모바일 침해사건과 연결되는 고리를 발견하였습니다.
■ 카카오톡 메시지를 통한 은밀한 표적공격
2019년 06월부터 최근까지 다양한 사람들에게 악성앱 유포 시도 정황이 포착되었습니다.
공격자는 미국에 실존하는 특정 인물의 이름과 프로필 사진을 무단 도용해 카카오톡 계정을 생성하고, 대북분야에 종사하는 한국 사람들에게 접근을 시도합니다.
휴대폰 전화번호만 알면 카카오톡 친구를 추가할 수 있기 때문에 공격 대상자를 선별하는데 전화번호가 활용됩니다.
공격자는 미국내 한인협회 부회장이나 자문위원, 또는 평화연구소 연구원 등을 사칭해 접근을 시도합니다.
[그림 9] 카카오톡 메신저로 악성앱을 전달하는 사례
카카오톡 대화를 통해 마치 미국내 평화연구원처럼 자신을 속이고, 북한관련 정보를 수집하고 있다면서 보안앱으로 대화를 하자고 제안합니다.
그러면서 특정 URL 링크를 클릭하도록 유도하고, 메신저 앱으로 위장한 악성앱을 설치 유도합니다.
공격자는 보안에 특화된 암호화 메신저로 위장한 특징을 가지고 있으며, 스위스에서 개발한 '쓰리마(Threema)'나 미국의 '위커(Wickr)' 등을 사칭하였습니다.
악성앱들은 실제 정상적인 암호화 메신저 기능을 그대로 제공해 최대한 의심을 받지 않도록 만들었습니다. 이 악성앱들은 모두 유사한 기능을 수행합니다.
그리고 지난 8월 5일 공개된 '금성121 APT 조직, 스테가노그래피 기법과 스마트폰 노린 퓨전 공격 수행' 내용에서 발견된 안드로이드 악성앱과도 유사성이 높게 분석됩니다.
[그림 10] 악성앱 종류별 내부 코드 비교화면
ESRC에서는 해외 보안메신저로 위장한 악성앱 공격 대상자가 북한이탈주민모금운동 사칭 공격에도 노출된 것을 확인했습니다.
구글 플레이 공식마켓에 있던 최종 버전에서는 확인하기 어려웠지만, 공격자가 만든 초기 버전을 확보하는데 성공했고 해당 앱에서 동일한 함수부분을 발견했습니다.
[그림 11] 메신저 위장 시리즈와 탈북민 기부 앱 위장 악성코드 비교
탈북민 모금운동 앱처럼 사칭한 악성앱은 최대한 기존 악성앱 조직처럼 보이지 않기 위해 나름대로 노력을 한 것으로 보입니다.
그러나 초기에 만들어졌던 변종에서 드롭박스(Dropbox)와 얀덱스(Yandex) 등으로 통신을 시도하는 기능이 동일하게 포함된 것을 확인했습니다.
또한, 악성앱들이 사용한 일부 변수 선언부분이 거의 동일함을 확인했습니다.
[그림 12] 메신저 위장 시리즈와 탈북민 기부 앱 위장의 설정변수 비교
이외에도 공격자가 명령을 수행하는 경로나 수집정보, 추가 다운로드 데이터에서 유사성이 높은 근거가 다수 확보되었습니다.
■ 안드로이드 스마트폰을 통한 도청 공격
ESRC에서는 특정 정부의 지원을 받아 활동하는 '금성121(Geumseong121)' APT 조직이 안드로이드 스마트폰 이용자를 겨냥한 위협활동에 주목하고 있습니다.
개인들이 소지한 스마트 폰이 좀비화되어 사이버 작전에 악용된다는 점은 절대 간과해선 안될 중요한 위협으로 부상하고 있습니다.
실시간 문자 메시지(SMS) 탈취부터 전화 주소록, 통화 녹음(도청), 알림창에 나오는 카카오톡 메시지 유출 시도 까지 일부 확인되었습니다.
또한, 이름만 들어도 누군지 알 수 있는 유명 인사들이 이번 '드래곤 메신저' APT 공격에 노출되었다는 점입니다.
안드로이드 스마트폰이 악성앱에 노출될 경우 개인 사생활뿐만 아니라, 기관 및 기업 내부에서 진행되는 회의내용, 갤러리에 포함된 사진 등이 실시간으로 유출됩니다.
저희는 이번 모바일 APT 공격을 추적 분석하는 과정에서 다양한 사람들이 공격을 받아 좀비화된 것을 확인했습니다. 그러나 대체로 감염여부 자체를 인지하지 못하거나 스마트폰이 오랜 기간 공격자에게 감시당하고 있다는 점에 충격을 받았습니다.
■ 주요 침해지표(Indicator of Compromise)
1594679f51bdebe4701d062f3c8f0dc3
dfb8e001b3ecfc63200dd4c5c21f53d5
02d5e68bef32871765b7e6e71f50499d
c36de50fe488e5015a58a241eb9b2411
1e32cd693a0dd137959b87ca359b2831
ESRC에서는 해당 위협에 사용된 추가 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트를 통해 별도로 제공할 예정입니다.
▶ 금성121 APT 조직, 스테가노그래피 기법과 스마트폰 노린 퓨전 공격 수행 (2019. 08. 05)
▶ 금성121 조직, 라자루스로 위장한 APT '이미테이션 게임' 등장 (2019. 08. 03)
▶ 금성121 APT 조직, 안보통일관련 소식으로 스피어피싱 공격 시도 (2019. 07. 02)
▶ '금성121' 조직, 북한 선교 학교 신청서 사칭으로 APT 공격 (2019. 06. 15)
▶ 금성121 조직, 학술회의 안내로 위장한 '프린팅 페이퍼' APT 공격 시도 (2019. 05. 02)
▶ 금성121, <로켓맨 캠페인> 오퍼레이션 '블랙 배너' APT 공격 등장 (2019. 04. 29)
▶ '금성121 조직', 통일부를 사칭한 APT 공격, 구글 드라이브로 악성코드 전파 (2019. 04. 22)
▶ 금성121 APT 조직, '오퍼레이션 하이 엑스퍼트(Operation High Expert)' (2019. 04. 02)
▶ 로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)' (2019. 03. 20)
▶ 홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인 (2019. 01. 23)
▶ '오퍼레이션 블랙버드(Operation Blackbird)', 금성121의 모바일 침공 (2018. 12. 13)
▶ 금성121(Geumseong121) 정부기반 APT그룹, '코리안 스워드 작전' 수행 중 (2018. 11. 16)
▶ 금성121 그룹의 최신 APT 캠페인 - '작전명 로켓 맨(Operation Rocket Man)' (2018. 08. 22)
▶ 금성121, Flash Player Zero-Day (CVE-2018-4878) 공격 주의 (2018. 02. 02)