1. 개요

2020년 경자년 새해가 밝았다. 작년 한 해 동안 대한민국은 다양한 해킹그룹들의 공격대상이 되었다. 그 동안 국내 타깃형 공격의 상당수는 라자루스(Lazarus)/안다리엘(Andariel), 김수키(Kimsuky) 등 북한정부의 지원을 받은 것으로 추정되는 공격그룹이 주를 이루었으나, 작년 초부터 러시아의 지원을 받는 것으로 추정되는 TA505가 공격그룹 대열에 합류하였다. 이들 공격그룹들은 여전히 다양한 공격벡터와 정상 파일보다 더 정상파일 같은 악성코드로 국내 기업과 기관들을 위협하고 있다.

‘지피지기(知彼知己)면 백전불태(百戰不殆)’라는 손자병법의 이야기 같이 공격그룹의 공격형태와 특징 들을 미리 분석한다면 공격의 사전예방이나 사후분석에 많은 도움이 될 것이다. 따라서 2020년 상반기에는 ‘알.아.보.잡’ 시리즈를 통해서 국내를 목표로 한 공격그룹들에 대해서 알아보고자 한다. 이들 공격그룹들은 어떠한 공격벡터를 이용하여 사용자들을 현혹시키는지, 악성코드를 통해서 어떤 정보를 탈취하고 파괴하는지 등에 대해서 심도 있게 살펴보도록 하자.

가장 먼저 첫 번째 주자는 2020년 초부터 활발한 움직임을 보이고 있는 러시아 추정 해킹그룹인 ‘TA505’로 지난해 연초부터 12월 연말까지 꾸준히 공격을 진행한 이력을 가지고 있다. 그럼 본격적으로 TA505에 대해서 분석해 보자.

[표 1] 2020년 상반기 Analysis Report에서 다룰 공격그룹의 목록

02. TA505

러시아 정부의 지원을 받고 있는 것으로 추정되는 공격 그룹이다. 2014년도부터 활동을 시작하였으며 주로 해외를 대상으로 뱅킹 트로이목마인 Dridex를 이용하여 공격을 진행했다. 초기 버전에서는 워드 문서의 악성 매크로를 이용하여 악성코드를 감염시켰으며 이후에는 AtomBombing이라는 기술을 이용하였다. 이미 세계적으로 악명을 떨치고 있던 TA505가 국내 사용자를 대상으로 본격적으로 공격을 시작한 건 2019년도부터이다. 그들은 정상 같은 악성 메일을 이용하여 사용자들을 위협했으며 그들의 악성메일에는 항상 악성 매크로 파일이 심어진 문서형 악성코드가 함께했다. 

TA505가 국내를 대상으로 진행한 공격에서 사용된 악성메일과 악성코드들의 특징 확인해보면 크게 세 가지 단계로 나누어 진다.

※ 실제 유포된 모든 샘플을 수집할 수 없었기 때문에 유포된 샘플 중 수집/공개된 샘플에 대해서만 정리를 진행하였다. 공격 방법의 변화에 대해서만 설명하기 때문에 최종 페이로드의 상세 분석에 대한 내용은 포함되지 않는다.

03. STEP 1 - 악성메일

공격은 악성메일로부터 시작되었다. 다양한 대상을 사칭하여 메일을 유포했으며 악성 매크로가 포함된 엑셀 파일을 첨부파일로 이용하거나 html 파일에 포함된 링크를 통해 엑셀 파일을 다운받는 방법을 사용하였다.  

※ 이후에 언급되는 내용은 아래 표의 순번 기준으로 작성되었다. 유포일자는 수집된 EML파일의 유포된 날짜를 의미한다. 

[표 2] 실제 유포된 악성메일 제목 및 첨부파일명(일부)

가장 최초로 유포된 이메일의 원문 내용이다. 본문 내용이  짧기 때문에 누가봐도 정상 메일로 보인다. ‘삼성 모바일에서 전송하였습니다.’ 라는 문구를 이용하여 모바일 환경에서 전송한 메일로 위장하고 있다. 첨부된 파일은 악성 매크로를 포함하고 있는 엑셀 파일이었다. 동일한 내용, 동일한 발신자명, 동일한 파일 형태를 가졌으나 내부의 악성 C2 #1은 변경되었다. 해당 내용은 STEP 2 – 악성 첨부파일에서 자세히 다루도록 한다. 

[그림 3-1] 2019-02-13 유포 악성메일 본문

[그림 3-2] 2019-02-19 유포 악성메일 본문

실존하는 회사를 사칭하여 메일을 유포하기도 했다. 사용된 첨부파일은 엑셀파일이었으나 이전의 메일보다 정상과 같은 메일의 모습을 보이기 시작했다. 

[그림 3] 2019-02-27 유포 악성메일 본문

[그림 4] 2019-05-21 유포 악성메일 본문

실존하는 기관 및 다양한 기업을 사칭한 악성메일 유포는 계속되었다. 포함되어있는 첨부파일의 형태에 약간의 변화가 포착되었다. Html 파일을 이용하여 실행 시 악성 엑셀 파일이 다운로드되게 했다. 

[그림 5] 2019-05-30 유포 악성메일 본문(국세청 사칭)

[그림 6] 2019-06-05 유포 악성메일 본문(** 항공사 사칭 )

[그림 7] 2019-07-25 유포 악성메일 본문(@@ 항공사 사칭)

그리고 그들의 공격은 2019년 12월까지 계속되었다. 정상보다 더 정상같은 악성메일을 이용한 공격은 끝이 없었다. 악성 URL을 이용하여 악성코드를 다운로드 받는 형태의 공격을 사용하였다. 

[그림 8] 2019-10-22 유포 악성메일 본문

[그림 9] 2019-12-18 유포 악성메일 본문

[그림 10] 2019-12-20 유포 악성메일 본문(은행 사칭)

수집되었던 TA505 그룹의 다양한 악성메일의 본문에 대한 특성을 다음과 같이 분류해보았다. 

[표 3] 실제 유포된 악성메일 의 본문 형태 분류(일부)

04. STEP 2 - 악성 첨부파일

악성 메일에 첨부되어 있거나 메일에 포함된 악성 URL에 의해 다운로드된 악성 엑셀파일은 어떠한 형태로 변화하였는지 정리해보았다.

[표 4] 분석에 사용된 엑셀 파일

초기의 엑셀 파일 실행 화면은 다음과 같다. 악성 매크로는 숨김 처리된 시트에 포함되어 있으며 유포 시기에 따라 추가 파일을 다운로드하는 C2 #1의 주소가 다르다. 

[표 5] 실행 화면 및 매크로의 위치가 유사한 형태 엑셀 파일

[그림 11] 2월 유포 악성 엑셀파일 본문

[그림 12] 인보이스 12-2-2019.xls 엑셀 매크로

[그림 13] 인보이스 18-2-2019.xls 엑셀 매크로

[그림 14] 의뢰_022718_001.xls 엑셀 매크로

2월 이후에는 엑셀파일 본문과 매크로의 위치에 약간의 변화가 생겼다. 숨김시트에 있던 C2 #1의 주소가 폼(Form)의 Tag영역으로 이동했다. 폼에 들어있는 C2 #1의 형태에도 약간의 변화가 있었다. 이 부분에 대해서는 폼(Form) #1과 폼(Form) #2로 구분지었다. 

[표 6] 매크로의 위치 및 다운로드 파일의 변화

엑셀 실행 시 나오는 화면은 다음 두 개의 이미지와 이전에 사용되었던 화면을 포함 총 세개의 이미지가 랜덤하게 사용되었다. 

[그림 15] 다양한 엑셀 실행 화면

매크로 부분은 기존 숨김 시트에 있던 내용들이 폼(Form) 영역으로 이동하였다. 임의의 폼 영역의 Tag에 파일을 다운로드 받아오는 C2 #1의 주소가 포함되어 있다. 

[그림 16] UserForm1

[그림 17] UserForm1의 Tag영역 - 폼(Form) #1

[그림 18] UserForm1의 Tag영역 - 폼(Form) #2

05. STEP 3 - 최종 페이로드

악성 엑셀파일에 의해 다운로드 된 최종 페이로드에도 많은 변화가 있었다. 처음엔 MSI(Windows Installer) 파일을 다운로드 받아 온 후 실행하고 몇 번의 과정을 거쳐 최종 페이로드에 사용되는 데이터를 다운로드 받아 실행하였다. 이후에는 엑셀 파일에서 DLL 파일을 직접 드롭하여 사용하는 방법으로 변하였으며 FlawedAmmyy RAT(wsus.exe)에서 형태가 달라진 임의의 다운로더(*.dll)로 변경되었다. 

비교에 사용된 샘플은 아래의 표와 같으며 엑셀 매크로에 의해 다운로드 및 드롭 되는 파일의 형태에 따라 3개의 그룹으로 분류하였다. 

[표 7] 분석에 사용된 엑셀 파일의 최종 페이로드

1) 그룹 #1 : 엑셀 매크로를 이용하여 MSI 파일을 드롭/다운로드함

2019년 상반기에 유포된 메일과 관련된 악성 엑셀파일은 악성 매크로를 이용하여 C2 #1에서 MSI 파일을 다운로드하였다. 해당 파일을 통해 설치된 파일 #2에서는 C2 #2로 접근하여 최종 페이로드에 사용되는 데이터를 다운로드 받았다. 생성된 최종 페이로드는 RAT 기능을 수행하였다. 

[표 8] 그룹 #1 – C2#1 에서 다운로드되는 파일 및 추가 생성파일 경로

[표 9] 그룹 #1 – C2#2 정리 및 페이로드 생성 경로

그룹 #1의 MSI 파일을 통해 생성되는 파일 #2의 이름은 모두 동일하였으나 몇 가지 단계를 거쳐 코드가 바뀌는 모습을 확인할 수 있었다. Workgroup의 경우 ‘net group /domain’ 명령을 통해 감염된 PC의 작업 그룹을 확인한다. 일반 사용자의 PC(WORKGROUP)인 경우 C2 #2에 접근하지 않았다. 

[표 10] 그룹 #1 - 파일 #2 특징

[그림 19] 작업그룹 변경 전(일반 사용자 PC)

[그림 20] 작업그룹 변경 후

2) 그룹 #2 : 엑셀 매크로를 이용하여 EXE 파일을 드롭/다운로드함

그룹 #2는 기존의 그룹 #1과 달리 엑셀 매크로를 통해 MSI가 아닌 EXE 파일을 직접 다운로드 한다. 이때 다운로드 되는 EXE 파일은 임의의 루틴으로 패킹되어 있으며 실행 시 정상 동작 한다. 그룹 #2로 분류된 파일에서는 안티바이러스를 체크하는 기능을 확인할 수 없었으며 여전히 현재 실행 중인 PC의 작업 그룹을 확인 후 WORKGRUOP가 아닌 경우 C2 #2에서 최종 페이로드 생성에 필요한 데이터를 다운로드 받아왔다. 생성된 최종 페이로드는 RAT 기능을 수행하였다.

[표 11] 그룹 #2 – C2#1 에서 다운로드되는 파일

[표 12] 그룹 #2 – C2#2 정리 및 최종 페이로드 생성 경로

[표 13] 그룹 #2 – 파일 #2 특징

3) 그룹 #3 : 엑셀 매크로를 이용하여 DLL 파일을 드롭/다운로드함

그룹 #3은 기존의 그룹 #1, 그룹 #2와 달리 다운로더의 형태가 아닌 드롭(Drop) 형태로 변했다. 엑셀 매크로를 통해 직접 DLL 파일을 드롭하고 인젝션 한 후 실행하였으며 최종 페이로드 또한 RAT에서 다운로더로 변경되었다. 

[표 14] 그룹 #3 – 엑셀 파일에서 드롭되는 파일

[표 15] 그룹 #3 – C2#2 정리 및 최종 페이로드 생성 경로

06. 대응방안

국내를 대상으로  TA505가 진행한 공격에서는 다수의 악성 메일이 사용되었다. 최초 유포된 악성메일은 악성코드임을 의심할 수 있었지만 시간이 흐름에 따라 점점 더 정상 메일 같은 형태의 악성메일을 사용하였다. 다양한 기관과 기업을 사칭하여 사용자를 위협했다. 해당 그룹의 샘플을 수집하고 분석하면서 느낀 대응 방안에 대해 적어보자 한다. 

1) 발신자의 이메일 주소에 주목할 것

분석에 사용된 EML파일을 보면 본문 내용은 정상 메일과 유사하지만 발신자 이메일 계정이 어딘가 이상하다는 점을 눈치챌 수 있다. 발신자명은 누구나 쉽게 조작할 수 있지만 발신자의 이메일까지 조작하기에는 무리가 있는 것으로 보이며 발신자명이 아닌 발신자 이메일을 예의주시해야 한다. 

2) 매크로를 사용할 수 없도록 설정되어 있을떈 콘텐츠 사용 함부로 누르지 말기

현재까지 해당 그룹은 악성 매크로를 이용하여 추가 악성코드를 다운/드롭 하는 공격 형태를 보였다. 과거에 국내가 아닌 해외를 대상으로 공격을 진행할 때에도 초기에는 매크로를 이용하여 공격을 사용했던 그룹이기에 더더욱 매크로 사용에 주의가 요구된다. 매크로를 이용한 공격은 해당 그룹뿐만 아니라 많은 공격자들이 사용하는 방법이므로 알 수 없는 발신자에 의해 수신된 메일의 첨부파일을 부득이하게 확인할 경우 매크로의 사용은 주의해야 한다. 

3) 보안에 대한 경각심과 개인의 관심이 필요 

해당 그룹의 주된 공격 대상은 기관 및 기업이었다. 그만큼 많은 이들을 위협에 빠트릴 수 있는 대상을 타깃으로 삼아 공격을 진행했고 공격 페이로드의 변경 주기도 짧은 편이었다. 작년 12월 말까지 공격을 진행하였기에 2020년도에도 더욱 발전한 형태의 공격을 진행할 것으로 예상된다.  

07. 참고자료

1) [MITER ATT&CK] TA505 : https://attack.mitre.org/groups/G0092/

2) [malpedia] Dridex : https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex

 ​