라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 악성 파일 공격
2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했습니다.
File Name | MD5 |
진실겜.xls | 64edec1d585ba599354f927249e12e6d |
내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다.
며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다.
탐지 내역 |
C:\Users\Bit****\Downloads\Telegram Desktop\진실겜.xls |
[표 1] ESRC 자체 모니터링 시스템에서 탐지된 '진실겜.xls' 탐지내역
악성 문서파일은 'PC용 텔레그램(Telegram Desktop)' 메신저의 다운로드 폴더에서 식별되었으며, 암호화폐와 관련된 사용자를 대상으로 유포된 정황이 존재합니다.
[그림 1] ‘진실겜.xls’ 파일 화면
'진실겜.xls'는 인터넷에 있는 오래된 예제용 매크로 코드에 악성 코드를 추가했으며, Auto_Open 함수는 문서가 열리면 자동으로 실행하게 지정해둔 키워드입니다.
악성 파일 제작자의 목적은 봇(Bot)이며, 오피스 프로그램을 사용할 때 발생하는 보안 경고를 스킵하고 매크로 기능을 허용하면, 악의적인 코드가 작동해 보안위협에 노출됩니다.
1. 악성 파일 분석
엑셀 매크로에서 Auto_Open 명령이 실행하는 'Doc_Data' 함수는 악성 파워쉘 스크립트 파일을 생성하고 실행합니다.
즉, 실제 악성 행위는 파워쉘에 의해 동작하며, 기존 Shape Changer 인텔리전스 보고서와 유사한 특징을 보입니다.
[그림 2] Auto_Open 함수 코드
[그림 3] Doc_Data 함수
Shape Changer 인텔리전스의 사례에서는 감염자의 OS가 맥인 경우에도 추가 악성 파일을 다운로드해 실행되게 했지만 이번 사례에서는 맥 OS 전용 기능은 발견되지 않았습니다.
[그림 4] Operation: Shape Changer 보고서
'진실겜.xls'에서 드롭되어 실행되는 파워쉘 악성 파일은 C&C를 제외하고 명령제어 기능을 포함한 서버와 통신할 때의 특징과 코드 모두 동일합니다.
[그림 5] Operation Shape Changer에서의 봇 기능
이번 파워쉘 코드에서 사용된 C&C 목록은 아래와 같습니다. 분석 당시, C&C가 살아있었고, 감염자의 정보 수집 명령만 수행 중인 것으로 확인되었습니다.
https://czinfo[.]club
https://pegasusco[.]net
https://smilekeepers[.]co
[표 2] ‘진실겜.xls’ C&C
관련하여 Shape Changer 인텔리전스 보고서는 기존 GhostPuppet 오퍼레이션과 관련성이 있는 것으로 조사되었습니다.
이번 공격에서 사용된 공격 방법이나 도구를 비롯해 공격 대상의 특성을 고려했을 때, 동일한 조직이 연계된 것으로 보입니다.
[그림 6] GhostPuppet, Shape Changer, 진실겜.xls의 연관성
2. 결론
연관성이 높은 기존 공격에서도 암호화폐 관련자에게 유포됐던 이력이 있으며, 공격자가 사용하는 악성파일의 특징이나 과정의 관련성으로 보아, 이는 특정 조직이나 개인이 목적을 가지고 불특정 다수가 아닌 명확한 대상을 타깃으로 한 공격일 가능성이 높아 보입니다.
분석 당시 C&C와 통신이 가능했고 추가적인 악성 파일도 모니터링되었기 때문에 추가적인 피해가 발생할 수 있어, 이메일 혹은 메신저에서 직접적으로 파일을 전송받으면 실행하지 말고, 최소한 백신으로 정밀검사를 하여 PC가 감염되지 않도록 주의하시기 바랍니다.
현재 알약에서는 해당 악성파일에 대해 'Trojan.Downloader.XLS.gen'으로 탐지 중에 있습니다.
추가 분석 정보는 Threat Inside의 인텔리전스 보고서를 통해 제공될 예정입니다.