김수키(Kimsuky) 조직, 청와대 보안 이메일로 사칭한 APT 공격 수행
2020년 06월 19일 새벽, 대한민국 청와대 보안 이메일 파일을 사칭한 APT(지능형지속위협) 공격용 악성파일 변종이 다수 발견되었습니다.
악성파일은 청와대 로고 이미지 아이콘을 가지고 있으며, 변종 악성코드에 따라 제작된 날짜(Time Stamp)가 조금씩 다릅니다.
가장 최근에 제작된 날짜는 한국시간(KST) 기준으로 2020년 06월 19일 12시 44분 47초 입니다.
ESRC는 해당 악성파일을 긴급 분석한 결과 특정 정부와 연계된 것으로 알려진 이른바 '김수키(Kimsuky)' 조직의 '블루 에스티메이트' 위협 캠페인의 연장선으로 확인했습니다.
'블루 에스티메이트' APT 캠페인은 지난 2019년 12월 04일 【김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격】 작전으로 시작되었습니다.
그리고 알약 블로그에 공개된 이력 기준으로 2020년 03월 02일 【이력서로 위장한 김수키(Kimsuky) 조직의 '블루 에스티메이트 Part5' APT 공격 주의'】 공격까지 계속 이어지고 있습니다. 물론, 공개되지 않은 위협 사례까지 포함하면 더 많은 공격들이 진행되고 있습니다.
▶ 악성 파일 코드 분석
ESRC는 위협 모니터링 과정 중에 Windows 스크립트 파일 유형으로 제작된 'bmail-security-check.wsf' 악성 스크립트 코드를 발견했습니다.
[그림 1] 악성 wsf 스크립트 코드 화면
스크립트 코드 내부에는 Base64 코드로 인코딩된 데이터가 포함되어 있고, 디코딩 과정을 거치면 'bmail-security-check.exe', 'AutoUpdate.dll' 파일 등이 생성됩니다.
특히, 'bmail-security-check.exe' 악성코드는 다음과 같이 대한민국 청와대 로고 이미지를 아이콘으로 사용하고 있습니다.
[그림 2] 청와대 이미지를 가지고 있는 악성파일 아이콘
'bmail-security-check.exe' 악성파일은 한국시간(KST) 기준으로 '2020-06-18 15:34:15' 시점에 제작되었습니다. 그리고 별도 추가 발견된 변종 'bmail-security-check.scr' 파일은 '2020-06-19 12:44:47' 시점에 만들어진 상태입니다.
악성파일은 UPX로 실행압축되어 있으며, 'bmail-security-check.exe' 파일이 실행되면 다음과 같은 화면이 나타납니다.
[그림 3] 악성파일 실행시 보여지는 메시지 창 화면
'bmail-security-check.exe' 파일에는 '보안메일 현시에 안전합니다.'라는 메시지 박스가 나타나는 알림 기능을 가지고 있는데, 여기에 '현시'라는 표현은 북한식 언어 표기법입니다.
[그림 4] 메시지 박스 API 함수 화면
또한, 제작자가 악성파일 개발 당시 사용한 PDB(Program Data Base)경로가 다음과 같이 발견되었습니다.
[그림 5] 악성코드 내부의 PDB 경로
G:\Bear_work\engine_work\wsf\messagebox_win32\Release\messagebox_win32.pdb |
Base64 코드로 인코딩되어 있던 'AutoUpdate.dll' 파일은 'ProgramData\Software\Microsoft\Windows\Defender' 하위경로에 자신을 숨기고 악의적인 기능을 수행하게 됩니다.
[그림 6] 'AutoUpdate.dll' 악성코드 생성 화면
페이로드(Payload) 역할을 수행하는 'AutoUpdate.dll' 악성 파일은 UPX로 실행압축되어 있고, 익스포트(Export) 함수로 'dropper-regsvr32.dll' 이름을 가지고 있으며, 'autobicycle001', 'autobicycle002' 등을 가지고 있습니다.
악성파일은 다음과 같은 명령제어(C2)서버로 통신을 시도하게 되며, 감염된 컴퓨터의 정보를 보내고, 공격자의 추가적인 명령을 지속적으로 대기하게 됩니다.
공격자의 의도에 따라 원격제어 등 예기치 못한 피해가 추가로 이어질 가능성이 높습니다.
http://security-confirm.bmail-org[.]com/pages/log.php | 204.93.163[.]87 (US) |
분석 시점 당시 'security-confirm.bmail-org[.]com/pages' 주소로 접속하면, 청와대 홈페이지로 변경되는 것이 확인되었습니다.
[그림 7] C2 주소로 접속시 청와대 주소로 이동되는 화면
이스트시큐리티 ESRC(시큐리티대응센터)는 특정 정부의 후원을 받고, 연계된 것으로 확신하는 이른바 '김수키(Kimsuky)' 조직의 APT 활동이 꾸준히 이어지고 있는 것으로 보고 있습니다.
특히, 이들 조직이 최근까지 가장 왕성하게 사용하는 '스모크 스크린(Smoke Screen)'과 '블루 에스티메이트(Blue Estimate)' 캠페인은 대표적인 김수키 조직의 APT 공격 활동 입니다.
또한 최근 김수키 조직은 마치 라자루스(Lazarus) 조직처럼 위장하는 기법을 도입하는 등 갈수록 공격방식을 고도화시키고 있는 점도 주목할 만한 부분입니다.
ESRC에서는 정부차원의 APT 공격에 보다 체계적이고 신속한 대응을 위해 관련 기관과 공조를 강화하고 있으며, 보다 상세한 침해지표(IoC)와 위협 인텔리전스 리포트 등은 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공하고 있습니다.
▶ 김수키(Kimsuky) APT 그룹, 과거 라자루스(Lazarus) doc 공격 방식 활용 (2020. 06. 11)
▶ 김수키(Kimsuky) 그룹, HWP, DOC, EXE 복합적 APT 공격 작전 (2020. 06. 02)
▶ '북한 내 코로나19 상황 인터뷰' 문건으로 사칭한 김수키 APT 공격 주의! (2020. 05. 29)
▶ 김수키 조직, 21대 국회의원 선거문서로 사칭한 스모크 스크린 APT 공격 수행 (2020. 04. 10)
▶ 국방부 출신 이력서를 위장한 김수키 조직의 '블루 에스티메이트 Part7' APT 공격 주의 (2020. 03. 23)
▶ 김수키 조직, 비건 미국무부 부장관 서신 내용으로 위장한 APT 공격 수행 (2020. 03. 03)
▶ 이력서로 위장한 김수키 조직의 '블루 에스티메이트 Part5' APT 공격 주의 (2020. 03. 02)
▶ 김수키, 실제 주민등록등본 파일로 둔갑한 '블루 에스티메이트 Part3' APT 공격 주의 (2020. 02. 06)
▶ 청와대 행사 견적서 사칭 변종, '블루 에스티메이트 Part 2' (2020. 01. 21)
▶ ‘통일외교안보특보 발표문건’ 사칭 APT 공격… 김수키(Kimsuky) 조직 소행 (2020. 01. 14)
▶ 김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격 (2019. 12. 04)
▶ 김수키(Kimsuky) 조직 소행 추정 ‘대북 분야 국책연구기관’ 사칭 스피어피싱 공격 발견 (2019. 10. 17)
▶ 북한 파일명으로 보고된 Kimsuky 조직의 '스모크 스크린' PART 3 (2019. 09. 27)
▶ 김수키 조직, 사이버 안전국 암호화폐 민원안내로 사칭해 APT 공격 수행 (2019. 05. 28)
▶ 김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시 (2019. 05. 20)
▶ 암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2 (2019. 05. 13)
▶ 한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (2019. 04. 17)