SECURITY NEWS
| [보안뉴스] 김수키 공격 그룹의 ‘주민등록등본’ 파일 위장 APT 공격 발견 | ||
|---|---|---|
|
||
|
2019년 12월 발생한 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격과 연관성 확인 [보안뉴스 원병철 기자] 지난 2019년 12월 청와대 녹지원과 상춘재 행사 견적서를 사칭해 APT 공격을 진행했던 ‘김수키(Kimsuky)’ 공격 그룹이 2월 6일 한 교육원 관계자의 주민등록등본으로 위장한 APT 공격을 시작한 것으로 알려져 관계자들의 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 전 ○○교육원 관계자의 실제 주민등록등본 PDF 스캔파일처럼 위장한 APT(지능형지속위협) 공격이 등장했다고 밝혔으며, 해당 악성파일의 알약 탐지명(Trojan.Dropper.1081856K)도 공개했다.  ▲김수키 공격그룹의 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격의 3가지 유형[자료=ESRC] 이번 공격은 지난 2019년 12월 4일 공개된 바 있는 ‘청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격’의 3번째 변종으로 확인됐다. 이스트시큐리티가 ‘블루 에스티메이트’라 이름 붙인 캠페인이 지속되고 있는 가운데, 2월 6일 제작된 변종은 실제 온라인에서 발급된 특정인의 주민등록등본 화면을 보여준다. 마치 PDF 문서처럼 2중 확장자로 위장한 악성 파일은 실제 화면 보호기(SCR) 확장자를 통해 EXE 실행파일과 동일하게 실행된다. 그리고 내부 리소스에 포함되어 있는 ‘주민등록등본.tif’ 이미지 파일을 생성하고 로드시킨다.  ▲악성 파일이 실행된 후 보이는 주민등록등본 이미지[자료=ESRC] 실제 보이는 주민등록표에는 전직 ○○교육원 관계자와 관련된 것으로 보이는 개인정보가 담겨 있다. ‘주민등록등본.pdf(다수의 공백 포함) .scr’란 이름의 악성 파일은 내부에 다음과 같은 리소스(BINARY) 영역을 가지고 있으며, 리소스 이름은 기존 블루 에스티메이트 캠페인에서 동일하게 사용된다. 그리고 악성 파일이 제작될 때 한국어 기반으로 만들어 진 것을 확인할 수 있다. ‘103’ 영역에는 이미지 파일이 '104' 영역에는 64비트 악성 DLL 파일이 포함되어 있다.  ▲악성 파일 내부 리소스 화면[자료=ESRC] 이번 숙주 파일은 64비트 DLL 파일을 'Hero.dll' 이름으로 생성하고 실행하고 있기 때문에 32비트 운영체제에서 실행될 경우 오류 창이 발생할 수 있다. 악성 파일은 ‘HelloSidney’ 뮤텍스(Mutex) 값을 사용하는데, 이것은 ‘오성사 MC2-500 외형도 P1307033 Model_수정.pdf(다수의 공백 포함) .exe’ 때와 동일하다.  ▲Mutex 생성 화면[자료=ESRC] 과거 유사 오퍼레이션의 페이로드는 각 오퍼레이션 별로 차이를 보이고 있는데, 특징적으로 C&C, 문자열, 기능 방식 등에서 차이가 존재하지만, ‘맥(MAC) 어드레스 및 시리얼 정보 수집’ 기능에서 공통된 코드를 보이고 있다. 특히, 이번 ‘오퍼레이션 블루 에스티메이트 Part3 (Operation Blue Estimate Part3)’에서는 ‘Hero.dll’, ‘HelloSidney’ 등이 동일한 공통점이 있지만, PDB가 제거되었고 C2는 ‘mernberinfo.tech (213.190.6.159)’ 주소로 변경됐음을 알 수 있다.  ▲C2 통신 패킷 화면[자료=ESRC] ESRC는 이번 APT 공격 배후에 ‘김수키(Kimsuky)’ 공격 그룹이 연계되어 있는 것으로 믿고 있으며, 보다 상세한 분석내용은 추후 ‘쓰렛 인사이드’의 위협 인텔리전스 리포트로 별도 제공할 예정이라고 밝혔다. [출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86220&page=1&mkind=1&kind=1] |
||
| 이전글 | [보안뉴스] 노르텍의 입구 통제 시스템, 취약점 패치 미뤘더니 공격 증가해 | |
| 다음글 | [보안뉴스] 구글, 2월 정기 패치 통해 안드로이드에서 25개 취약점 해결 | |
