금성121(Geumseong121) 그룹, 교원 모집 공고문 등으로 변칙적 워터링 홀 공격
▶ 변칙적 워터링 홀 공격 배경
특정 정부가 연계된 것으로 알려진 '금성121(Geumseong121)' 공격 그룹이 새로운 방식을 도입해 지능형지속위협(APT)공격을 수행하고 있어 각별한 주의가 요구됩니다.
ESRC는 지난 2020년 5월 19일, 【금성121 조직, 국회 사무처 사칭으로 APT 공격 수행】 포스팅을 공개한 바 있습니다.
이외에도 【통일 정책분야 연구원으로 사칭한 ‘금성121’ APT 공격 주의】 내용 등으로 이들 그룹의 활발한 위협 인텔리전스 정보를 지속적으로 공유하고 있습니다.
한편 이번에 분석된 사례는 마치 워터링 홀(Watering Hole) 공격처럼 타깃 분야 웹 사이트에 접속한 사람들만 악성파일에 노출되도록 수행 중인데, 기존에 많이 알려지지 않은 공격 벡터를 쓰고 있습니다.
현재 '금성121'이 활용 중인 웹 기반 공격 전략은 웹 브라우저 취약점을 쓰거나 악성 스크립트를 사이트에 삽입하는 것이 아니라, 웹 사이트 안내 게시판에 악성 hwp 문서파일이 등록되도록 만드는 것입니다.
해커가 직접 대상 웹 서버를 침투해 기존에 등록된 정상 hwp 문서를 악성으로 교체한 것인지, 아니면 글 등록 담당자의 컴퓨터를 해킹해 이미 작성된 문서에 악성코드를 삽입 변조해 정상적인 절차로 등록되도록 만든 것인지 여부는 추가 조사가 필요한 상태입니다.
이런 위협은 평소 아무 의심없이 접속하던 다수의 이용자들은 첨부된 파일을 열람하고, 문서파일 취약점이 존재하는 경우 바로 위협에 노출되는 방식입니다.
ESRC에서는 지난 수개월 간 국내에서 운영 중인 다수의 북한관련 웹 사이트가 이처럼 변칙적인 방식의 워터링 홀 공격에 노출된 것을 식별했고, 위협 배후 분석결과 모두 '금성121' 그룹으로 분류된 상태입니다.
[그림 1] 악성 hwp 문서가 게시판에 등록된 페이지 코드 화면
악성 hwp 문서파일은 해커 의도에 따라 여러가지 형태가 배포되고 있으며, 무슨 취약점과 어떤 과정으로 악성 파일이 등록됐는지 정확한 침해사고 원인파악이 되지 않을 경우 지속적 위협에 노출될 가능성도 배제하기 어렵습니다.
최근에 관찰된 악성 문서파일은 '2020학년도 모집공고역사.hwp' 파일명으로, 역사과목을 담당할 기간제교원을 모집하는 내용을 담고 있습니다.
해당 문서파일이 실행되면 다음과 같은 본문 내용이 보여지게 되며, 취약점에 따라 악의적인 명령이 수행됩니다.
[그림 2] 악성 hwp 문서가 실행된 후 보여지는 화면
▶ 악성 hwp 문서 심층 분석
이번에 새롭게 탐지된 악성 hwp 문서파일은 2020년 상반기에 수행된 공격 중에 하나로, 문서 내부에 다음과 같이 'BIN0001.ps' 포스트 스크립트(Post Script) 스트림을 내장하고 있습니다.
[그림 3] 악성 포스트 스트립트가 포함된 화면
포스트 스크립트는 코드 분석 및 탐지가 어렵도록 인코딩 방식이 적용되어 있고, 디코딩 과정을 거치면 다음과 같이 내부에 쉘코드(shellcode)가 포함된 명령어들이 존재합니다.
[그림 4] 쉘코드가 포함된 포스트 스크립트 화면
쉘코드 명령에 의해서 8바이트의 특정 오프셋 바이트 값을 확인하고, 포스트 스크립트 하단 영역에 인코딩되어 숨겨져 있던 페이로드(Payload) 디코딩 호출 및 인젝션 기능을 수행합니다.
[그림 5] 쉘코드 함수 화면
디코딩 루틴을 거치면 포스트 스크립트 하단에 인코딩되어 존재하던 PE 파일의 모습이 나타납니다. 해당 파일은 파일리스(Fileless) 기법으로 작동하며, 32비트 exe 파일입니다.
[그림 6] 포스트 스크립트에 숨겨져 있는 32비트 exe 악성 코드
악성 파일은 【위장 탈북 증거로 유인한 '금성121' APT 조직의 스파이 클라우드 공격 등장】 사례와 마찬가지로 해외 클라우드(pcloud) 서버로 탈취된 이용자 정보를 은밀히 유출시키게 됩니다.
그리고 공격자 의도에 따라 추가 악성파일이 설치되어 예기치 못한 원격제어 피해 등으로 이어질 수 있게 됩니다.
[그림 7] 해외 클라우드 서버 이용 모습
ESRC는 공격자들이 사용한 클라우드 가입 정보를 확인했는데, 기존 '금성121' 조직이 사용한 것과 유사하게 러시아 얀덱스(maddisonharmon@yandex.com) 이메일 계정을 사용했습니다.
[그림 8] 클라우드 서비스에 러시아 yandex 이메일로 가입된 모습
이들은 클라우드 서비스 등에 가입할 때 한국 카카오의 한메일, 미국의 구글 지메일, 러시아의 얀덱스 이메일을 자주 사용하고 있습니다.
[그림 9] 금성121 조직이 사용했던 위협 사례 화면
ESRC는 '금성121' 조직이 라자루스(Lazarus), 김수키(Kimsuky), 코니(Konni) 등과 함께 대한민국을 상대로 지속적인 사이버 안보 위협활동을 하고 있다는 것을 확신합니다.
이들은 정부차원의 후원을 받으면서 과감하고 노골적인 해킹 작전을 수행 중이고, 갈수록 위협이 정교화·고도화되는 실정입니다.
따라서 이런 APT 공격에 대한 보다 체계적인 분석과 연구노력이 절실하며, 위협 인텔리전스 기반의 민관대응과 협력이 절실히 요구되고 있습니다.
ESRC는 '금성121' 그룹의 다양한 위협 사례와 침해지표(IoC) 정보 등을 보다 체계화하여 'Threat Inside' 서비스를 통해 상세히 제공하고 있습니다.
[참고 자료]
▶ 통일 정책분야 연구원으로 사칭한 ‘금성121’ APT 공격 주의 (2020. 05. 08)
▶ 위장 탈북 증거로 유인한 '금성121' APT 조직의 '스파이 클라우드' 공격 등장 (2020. 03. 30)
▶ 금성121, 북한 이탈주민 후원 사칭 '드래곤 메신저' 모바일 APT 공격 수행 (2019. 11. 11)
▶ 금성121 APT 조직, 스테가노그래피 기법과 스마트폰 노린 퓨전 공격 수행 (2019. 08. 05)
▶ 금성121 APT 조직, 안보통일관련 소식으로 스피어피싱 공격 시도 (2019. 07. 02)
▶ '금성121' 조직, 북한 선교 학교 신청서 사칭으로 APT 공격 (2019. 06. 15)
▶ 금성121 조직, 학술회의 안내로 위장한 '프린팅 페이퍼' APT 공격 시도 (2019. 05. 02)
▶ 금성121, <로켓맨 캠페인> 오퍼레이션 '블랙 배너' APT 공격 등장 (2009. 04. 29)
▶ '금성121 조직', 통일부를 사칭한 APT 공격, 구글 드라이브로 악성코드 전파 (2009. 04. 22)
▶ 금성121 APT 조직, '오퍼레이션 하이 엑스퍼트(Operation High Expert)' (2009. 04. 02)
▶ 로켓맨 APT 캠페인, '오퍼레이션 골든 버드(Operation Golden Bird)' (2009. 03. 20)
▶ '오퍼레이션 블랙버드(Operation Blackbird)', 금성121의 모바일 침공 (2018. 12. 13)
▶ 금성121 APT그룹, '코리안 스워드(Operation Korean Sword) 작전' 수행 중 (2018. 11. 16)
▶ 금성121 그룹의 최신 APT 캠페인 - 작전명 로켓 맨 (2018. 08. 22)
▶ '금성121' 그룹의 '남북이산가족찾기 전수조사' 사칭 이메일 주의 (2018. 07. 04)
▶ 금성121, Flash Player Zero-Day (CVE-2018-4878) 공격 주의 (2018. 02. 02)