SECURITY NEWS
[보안뉴스] 북 추정 해킹그룹들의 자가 복제...라자루스로 위장한 금성 121 | ||
---|---|---|
|
||
ESRC, 라자루스 위장술 처음 도입된 ‘오퍼레이션 이미테이션 게임’ 공개 [보안뉴스 원병철 기자] 북한 추정 국가의 지원을 받는 공격그룹으로 잘 알려진 금성 121이 최근 같은 북한 추정 국가의 지원을 받는 공격그룹인 라자루스로 위장해 진행한 공격이 발견돼 높은 관심을 받고 있다. 특히 그동안 두 그룹은 각기 다른 분야를 목표로 공격을 진행해온 만큼 그 속내에 주목해야 한다는 전문가들의 목소리가 나오고 있다. [이미지=iclickart] 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 한국을 주요 공격대상으로 삼고 있는 APT 위협배후 중 ‘금성121(Geumseong121)’ 조직이 마치 ‘라자루스(Lazarus)’ 조직인 것처럼 위장한 ‘교란 전술(False Flag)’ 흔적을 식별했다고 밝혔다. ESRC는 북 추정 정부후원을 받는 각기 구분된 2개의 유명 해킹조직 ‘라자루스’와 ‘금성121’을 관찰하던 중 금성121 조직에서 상대 그룹 전술을 차용해 조작한 사례를 발견했으며, 작전명을 ‘이미테이션 게임(Operation Imitation Game)’으로 이름 지었다고 밝혔다. 공격벡터는 한국에서 주로 발견되는 HWP 문서파일과 스피어 피싱이 악용되었고, 마치 평상시 잘 아는 사람이 주고받는 이메일처럼 꾸며져 있다. 이메일 자체만 놓고 봤을 때는 특별히 의심스러운 점은 보이지 않는 자연스런 화면이지만, 첨부되어 있는 문서파일에 악성 코드가 삽입되어 있다. ▲금성121의 공격에 사용된 한글문서[자료=ESRC] ESRC는 “보통 HWP 악성문서가 발견되면, 기존에 어떤 취약점과 유사성이 높은지 확인을 거치고, 미리 정의되어 있는 위협배후 조직과의 유사성 및 연관성을 분석하게 된다”면서, “이번에 식별된 악성 문서파일은 2019년 7월 15일 수정되었으며, 스트림 내부에 BIN0001.eps 포스트스크립트 코드가 포함되어 있었다”고 설명했다. 포스트스크립트 코드를 열어보면, 기존에 널리 활용되는 인코딩 기법이 적용되어 있고, 일명 라자루스(Lazarus) 계열에서 목격되던 Hex 16바이트 XOR 암호화키( ▲라자루스(좌측) 포스트스크립트와 신규 발견 유사 포스트스크립트(우측)[자료=ESRC] 그래서 1단계 초동분석 시점에는 얼마 전 리포팅한 ‘암호화폐 거래자를 노린 Lazarus APT 공격 가속화’ 변종으로 의심했었지만, 분석을 거듭할수록 의도적으로 라자루스 코드가 포함된 정황을 포착하게 됐다고 ESRC는 지적했다. APT 공격 조직을 특정하기 위한 일련의 조사과정에는 공격벡터부터 위협대상, 전술기법, 악성파일과 도구분석, 각종 침해사고 흔적들을 종합적으로 관찰해야 한다. 무엇보다 최종적으로 사용되는 바이너리와 통신 프로토콜은 위협배후로 하여금 평소 코드작성 습관과 알고리즘 스타일, 고유한 언어 지표 등을 토대로 다양한 단서와 증거를 확보할 수 있다. ▲실제 라자루스 쉘코드를 그대로 모방하고 있는 코드 비교 화면[자료=ESRC]
[원병철 기자(boanone@boannews.com)]
[출처: 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=81994&kind=1] |
||
이전글 | [보안뉴스] IBM, 레드햇 기반 하이브리드 멀티클라우드 지원하는 소프트웨어로 전환 | |
다음글 | [보안뉴스] 사이버 범죄자들, 요즘 들어 데이터 파괴하기 시작했다 |