보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

2022년 상반기 북한 공격 그룹 공격동향 Part.1 : 문서형 기반 악성코드

2022.09.01

6,649

01. 북한발 사이버 공격의 현황분석

2022년은 우크라이나와 러시아 간의 사이버 공격을 넘어 물리적인 충돌로 인해 전 세계 국제정세에도 많은 영향을 미치고 있다. 국내에서도 김수키(Kimsuky), 라자루스(Lazarus) 등 북한발 사이버 공격 그룹들의 공격이 활발하게 발생하고 있다. 공공, 민간 다양한 범위에서 사이버 공격을 수행하고 있으며, 전통적인 IT 환경을 넘어 암호화폐 거래소 및 정보 탈취 형태의 공격들도 꾸준히 증가하고 있다. 2022년 3월 초에 발생한 울진 산불 사태를 키워드로 ‘산불 피해 기부영수증’ 문서로 위장한 APT 공격 등과 같이 사회 이슈를 이용한 사이버 공격들은 자주 이용되는 방법임에도 높은 성공률을 보이고 있다. 그뿐만 아니라 대북 관련 원고 내용을 포함하거나 코인 등의 암호화폐 내용으로 위장하거나 보도자료로 위장하는 방법으로 악성코드를 유포하거나 정보를 탈취하는 공격들의 정황이 발견되고 있다.

사회공학적 기법 이외에도 취약점을 이용한 공격들도 자주 목격되고 있다. 2021년 12월 전 세계를 강타한 로그포쉘(Log4Shell)(CVE-2021-44228)취약점을 이용하여 백도어인 뉴크스페드(NukeSped) 설치를 시도하거나, 정상적인 보안 프로그램 프로세스에 DLL 삽입 공격으로 악성 행위를 시도, 가상화폐 지갑을 관리하는 디파이 어플리케이션 내부에 트로이 목마를 숨겨 업로드하는 등 다양한 공격 타깃을 활용하고 있다. 2022년 4월 18일, 미국 정부에서는 북한 관련 공격 그룹의 블록체인 업체의 공격 시도에 대한 사이버 보안 경보(AA22-108A, TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies)를 발령하였으며, 7월 6일에는 공중보건 분야를 겨냥한 랜섬웨어 공격에 대한 사이버 보안 경보(AA22-187A, North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector)를 통해 마우이(Maui), 홀리고스트(H0lyGh0st)등 북한 관련 공격 그룹이 제작한 것으로 추정되는 랜섬웨어에 대한 사용자 주의를 권고한바 있다.

[그림 1] 북한발 사이버 공격을 경보하는 경고 내용 일부(출처 : CISA)

북한 공격 그룹이 국내를 타깃으로 공격하는 주요 공격 기법을 보다 자세히 살펴보기 위해 2022년 상반기에 발생한 악성코드를 문서형 기반의 악성코드와 비문서형 기반의 악성코드로 분류하여 분석해보고자 한다. 먼저 이번 호인 ‘Part.1 : 문서형 기반’ 에서는 HWP, DOC 등 문서형으로 분류되는 형식을 가진 악성코드를 분석하고 ‘마이터어택 매트릭스(MITRE ATT&CK Matrix)’를 이용한 공격자의 TTPs(Tactics, Techniques, Procedures)를 생성하여 북한 공격 그룹의 공격 방식을 상세하게 알아보고자 한다.

02. 북한발 문서형 악성코드 상세 분석 : HWP 문서

기본적으로 가장 많이 발생하고 있는 유형으로 특정 목표물을 대상으로 한 스피어피싱(Spear-Phishing)을 이용하여 정보 탈취 또는 추가적인 악성코드 실행을 목표로 한다. 보통 HWP 실행 시 미끼 문서를 통한 추가적인 실행 시도를 포착하지 못하게 하며 OLE 개체에 숨겨둔 쉘코드를 실행하여 파일 리스(Fileless) 기반으로 탐지를 회피하는 것으로 확인된다.

[표 1] HWP문서형 악성코드 파일 정보

북한이탈주민 자문위원 대상 의견수렴_설문지.hwp(905745E2A196D7F8D7C2F9547F5B9E67) 악성코드가 발견된 메일 원본을 살펴보면 북한이탈주민 자문위원을 대상으로 한 의견수렴 관련 메일 내용으로 위장하여 배포하고 있다는 것을 알 수 있다. 이처럼 북한 이슈에 관심이 있는 이해관계자들을 대상으로 타깃형 악성코드를 배포하기 때문에 공격 성공률을 보다 높일 수 있다는 장점이 있다.

[그림 2] 북한관련 이슈를 활용한 피싱 메일 내용의 일부 (출처: 360 Blog)

메일에 첨부된 ‘북한이탈주민 자문위원 대상 의견수렴_설문지.hwp (905745E2A196D7F8D 7C2F9547F5B9E67)’를 최초 실행 결과 상위버전에서 작성된 문서라는 팝업이 생성되나 실제 팝업 이외에 이미지로 작성된 팝업이 추가로 확인된다.

[그림 3] HWP 악성코드 최초 실행 시 화면

HWP 문서 내에 OLE개체로 생성된 데이터가 2종류 존재하며 기본적으로 Zlib 인코딩이 적용되어 있기 때문에 BIN0003.OLE를 추출하여 디코딩 작업을 진행한다.

[그림 4] HWP 문서 내 저장된 OLE 개체

디코딩 결과 bat 파일로 생성하여 특정 조건 만족 시 Powershell 코드로 실행시키려는 시도가 확인된다.

[그림 5] BAT 파일 내 존재한 Powershell 코드

추가적으로 실행된 Powershell 코드의 경우 현재 실행된 HWP의 프로세스를 검색하여 강제 종료하며 prob.pib 파일을 새로 실행시켜 위장 문서를 업데이트 한다.

[그림 6] 두번째로 실행되는 Powershell 코드의 일부
[그림 7] 실제 문서파일 실행 시 바꿔치기된 문서

해당 샘플에서 발생된 이벤트를 MITRE ATT&CK의 MATRIX로 맵핑한 결과는 [표 2]와 같다.

[표 2] HWP 샘플이 사용한 TTP

03. 북한발 문서형 악성코드 상세분석 : DOC 문서

DOC 문서 역시 스피어피싱(Spear-Phishing)을 이용하여 정보 탈취 또는 추가적인 악성코드 실행을 목표로 한다. 미끼 문서를 통한 추가적인 실행 시도를 포착하지 못하게 하며 매크로 및 MS OFFICE 취약점을 악용하여 공격 코드를 실행하거나 C2에서 파일 다운로드 시도 등을 통해 획득한 악성코드 실행을 목표로 한다.

[표 3] DOC문서형 악성코드 파일 정보

[그림 8]과 같이 일반적인 분야가 아닌 가상화폐 관련한 피싱 메일을 이용하는 경우 역시 다수 발생하고 있으며 대부분이 가상화폐 탈취를 통한 금전적인 이득을 목표로 하고 있다.

[그림 8] 실제 수신된 피싱 메일 내용의 일부 (출처: securelist Blog)

최초 실행 결과 Windows Word 보안 경고창 확인 가능하며 신뢰할 수 없는 인증서를 설치하기 위한 작업을 진행한다.

[그림 9] 샘플 실행 시 확인되는 보안 인증서 관련 경고

보안 경고창에서 예를 눌러 계속 진행 시 특정 도메인에서 파일 다운로드를 시도하며 이후 [그림 10]과 같이 Azure 관련 미끼 문서를 실행한다.

[그림 10] 외부 C2와 파일 다운로드 시도

현재 C2로의 접근은 불가능하나 문서파일 내부의 데이터 확인 결과 비정상적으로 용량이 높은 XML 파일 1종이 확인된다.

[그림 11] DOC 파일 내부에서 확인되는 비정상적인 xml 파일

추가적으로 settings.xml.rels 파일 내용에서 이전에 접속 시도한 C2 주소가 추가로 확인된다.

[그림 12] settings.xml.rels 파일 내용

연결된 C2에서 다운로드된 파일은 매크로가 포함된 워드 문서 파일로 확인되며 [그림 9]의 item1.xml 파일을 디코딩하여 실행시키는 역할을 한다.

[그림 13] C2에서 다운로드 된 파일 내용

최종적으로 실행되는 데이터는 백도어로 확인되며 Themida 패커로 패킹되어 있는 것으로 확인된다.

[그림 14] 최종 실행되는 백도어 파일 내 패킹 정보

일부 언패킹 결과 rundll32를 통한 백도어 실행 시도 및 운영체제 정보, 사용자명, 설치된 시간, 부팅된 시간을 비롯한 시간 정보 등을 수집하는 것으로 확인된다.

[그림 15] 수집 시도하는 정보 목록

해당 샘플에서 발생된 이벤트를 ATT&CK Matrix로 맵핑한 결과는 [표 4]과 같다.

[표 4] DOC 샘플이 사용한 TTP

추가적으로 수집된 악성코드의 경우 윈도우 업데이트 위장하여 공격을 시도하는 케이스 또한 발생되었다.

[표 5] 파일 정보

문서 최초 실행 시 Lockheed Martin로 위장한 문서로 확인되며 매크로 사용을 위해 콘텐츠 사용 버튼 클릭 유도를 시도한다.

[그림 16] 샘플 파일 최초 실행 화면

콘텐츠 사용 버튼 클릭 시 바꿔치기할 문서 다운로드를 시도하나 현재 C2가 닫혀있어 다운로드는 불가능하다.

[그림 17] 매크로가 실행되어 C2로 파일 다운로드 시도

매크로 코드 확인 결과 WMIsAvailableOffline 함수 주소 검색 이후 해당 함수를 이용하여 메모리 보호 권한 변경을 통해 공격자가 원하는 Shellcode로 덮어쓰기 위한 작업을 진행한다.

[그림 18] 실행된 매크로 코드의 일부

실행된 Shellcode는 WinWord.exe에 Injection을 포함한 다른 공격에 사용되는 파일 데이터를 포함하고 있으며 WinWord.exe에 Injection된 파일 데이터 확인 결과 이전에 사용된 WMIsAvailableOffline 함수를 이용하여 변경된 항목을 원상복귀 시킨다.

[그림 19] WMIsAvailableOffline 함수 사용 이후 이전 값으로 복구

이후 explorer.exe의 Process ID 확보를 통해 explorer.exe에 추가적인 Injection 시도 확인된다.

[그림 20] explorer.exe PID 확보 시도

Windows Update에 사용하는 wuauclt.exe를 이용하여 악성 dll 파일을 우회 실행한다. 해당 방법을 이용하여 백신 및 탐지 우회를 진행한다.

[그림 21] wuauclt.exe를 이용한 악성 DLL 우회 실행 시도

최종 실행된 코드의 경우 악성 실행파일이 실행된 프로세스에 따라 다르게 동작하며 wuauclt.exe에서 실행된 경우 explorer.exe의 현재 PID를 조회한 다음 explorer.exe에 외부 통신용 데이터 코드를 Injection하며 explorer.exe에서 실행된 경우 자기 자신에게 Injection 작업을 진행한다.

[그림 22] 조건문을 이용한 추가적인 Injection 시도

추가 Injection된 코드의 경우 사용자 이름, 저장소 이름, 폴더, 토큰 값을 이용하여 특정 Github 저장소에 HTTP PUT 요청을 이용하여 이미지 폴더 내 데이터를 검색한다.(계정명: DanielManwarningRep)

[그림 23] Github 저장소와 통신하여 특정 파일 다운로드 시도

해당 샘플에서 발생된 이벤트를 ATT&CK Matrix로 맵핑한 결과는 [표 6]과 같다.

[표 6] DOC 샘플이 사용한 TTP

04. MITRE ATT&CK를 통한 북한발 사이버 공격 아티팩트

HWP, DOC 등 문서형 악성코드에서 발견된 TTP를 종합하여 중복되는 TTP를 [표 7]에 정리하였다.

[표 7] 샘플간 중복된 TTP

중복된 TTP에서 눈여겨볼 점은 스피어 피싱을 주로 사용하며 문서 파일의 특성상 사용자가 실행할 경우 작동하기 때문에 사용자가 현혹될만한 내용을 삽입한다. 내부 동작의 경우 쉘코드, 매크로 코드 작동으로 인해 동작 방식의 차이는 있으나 대부분 실행되는 파일은 DLL 파일로 PC에 정상적인 API를 로드하여 공격자가 원하는 행위를 진행한다. 추가적으로, 코드 일부에 BASE64등의 난독화를 일부 사용하여 악성 행위 탐지를 지연시키고 있다.

이번 호에서는 문서형 기반의 악성파일 분석 및 TTP를 기반으로 하여 현재 사용 중인 공격 방식에 대해서 알아보았다. 문서형이 아닌 실행파일을 비롯한 비문서형 기반 악성코드는 다음 호인 ‘2022년 상반기 북한 공격 그룹 공격동향 Part.2 : 비문서형 기반 악성코드’에서 자세히 다뤄볼 예정이다.

05. 참고자료

1) 钓鱼之王 — APT-Q-2(Kimsuky)近期以多个话题针对韩国的鱼叉攻击活动分析
https://mp.weixin.qq.com/s/JEQT3Lv1xoAe0nO7SkrgAA
2) The BlueNoroff cryptocurrency hunt is still on, securelist by Kaspersky
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
3) North Korea's Lazarus APT leverages Windows Update client, GitHub in latest campaign, Malwarebytes LABS
https://www.malwarebytes.com/blog/news/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign