PC뿐 아니라 스마트 디바이스 보안강화도 필수
북한 정부 후원 해킹조직 탈륨(김수키) 조직의 초기 침해사고는 내부 기밀자료 탈취 목표로 주로 정부나 공공기관, 기반시설에 집중된 경향이 있었지만 지금은 각종 민간단체와 특정기업을 넘어 불특정 다수의 국민들까지 위협하고 있다.
이스트시큐리티 ESRC(시큐리티대응센터)는 23일 ‘탈륨(김수키)과 코니 APT 그룹의 연관관계 분석 Part3’ 분석 리포트를 공개했다. 특히 이들 조직에 대한 분석에 위협 행위자의 소속이나 국가를 분류하는데 오랜 연구와 집중이 필요하고, 악성 프로그램은 기본이고 사이버 작전에 참여한 조직의 인물에 집중해야 하는 이른바 휴먼 인텔리전스 개념을 강조했다.
◇'탈륨(Thallium)' & '코니(Konni)'의 연계
ESRC는 최근 지능형지속위협(APT) 조직을 추적 분석하면서 몇가지 흥미로운 단서들을 확보했다고 밝혔다.
먼저 미국 마이크로소프트(MS)사가 2019년 말 법원에 정식 고소하며 명명된 '탈륨(=김수키)'이라 불리어지는 APT 조직이 지난 2017년 시스코 탈로스를 통해 알려진 '코니' 조직과 동일한 C2 인프라를 사용한 정황이 포착됐다.
이번 리포트에 따르면, 지난 11월 6일 한메일 Daum 고객센터에서 보안용도로 발송한 것처럼 위장한 계정 탈취 목적의 악성 이메일이 유포됐다. 해당 이메일 본문 링크에는 위협 행위자의 실수로 인해 'hanmail' 주소가 아닌 'naver.midsecurity[.]org' 주소로 연결을 시도했다고 전했다.
해당 피싱 서버를 조사하는 과정에서 위협 행위자가 한메일 위장 주소도 미리 준비해 놓았던 것을 확인했다. 그리고 한메일과 네이버로 위장한 것 외에 아이피 주소도 연결돼 있었다.
또 다른 실수도 있었다. 바로 공격자의 서버 내부 구조가 일정 기간 외부에 노출되도록 잘못 설정한 것이다. 노출된 기간 동안 공격자의 서버를 외부에서 확인할 수 있었다.
서버를 보면 매우 많은 폴더가 만들어져 있었다. 한국 뿐만 아니라 러시아 피싱목적의 사이트 등도 확인됐다.
더불어 암호화폐 종류 중에 하나인 써미츠(Summitz) 코인 거래와 관계된 고소위임장 문서, 유엔인권최고대표사무소 OHCHR 피싱, 바이든 시대 한국의 대외 전략 미끼 등의 데이터를 공격에 활용한 흔적도 있었다.
◇전형적 피싱 공격, 단순하지만 공격효과는 커
위협 조직들이 사용하는 유명 기업 사칭 피싱 공격은 고전적이고 단순해 보이지만, 실제 그 공격효과와 피해자 범위는 높은 것으로 분석됐다.
이메일 수신자의 심리를 교묘하게 파고들어 보안 위험성을 안내하는 척 현혹해 예상보다 많은 피해자들이 발생하고 있는 상황이다. 그리고 피싱 화면이 안내하는 과정에서 변경 전후 입력되는 암호가 실제 서비스와 연동돼 함께 유출되고 있다고 경고했다.
계정 탈취가 진행된 후 위협 행위자는 이메일에 무단 로그인한다. 한국 이메일 서비스의 경우 해외 로그인을 차단하는 경우가 많아 한국내 VPN 등 공격 거점을 지능적으로 활용해 접속하고 있다.
그리고 POP3/IMAP 이메일 수신 프로토콜 기능을 통해 외부에서 수신되는 이메일을 은밀히 전달받아 노출되기 전까지 수신되는 이메일을 원격에서 모두 볼 수 있다. 따라서 자신이 사용하는 이메일 환경 설정에 POP3/IMAP 사용여부를 확인하고 본인이 설정한 것이 아니라면 비 활성화 후 암호를 재차 변경하는 과정이 필요하다고 강조했다.
한국에서 사용하는 다양한 이메일 서비스를 이용한 피싱이 기승을 부리고 있고, 발신지 주소 조작을 위해 공개된 PHPMailer 등을 직접 구축해 사용하고 있기도 하다.
한국에선 굉장히 많은 포털 회사 사칭 이메일 공격들이 펼쳐지고 있다. 지난 5월 실제 사례를 보면, 대북분야에 종사하는 인물을 대상으로 수행된 네이버 사칭 공격이고 발신지 주소와 피싱 서버의 도메인 주소가 비슷하게 쓰였다. 발신지는 조작된 가짜 도메인이다.
◇탈륨과 동일한 서버 인프라 공유하는 코니
해킹 공격 캠페인은 일정시간 동안 이루어져, 공격자는 피해자의 자원을 장악하기 위해 추가 악성 파일을 몰래 다운로드 시킨다. 이 때 호스트 서버의 IP 주소와 도메인 등 네트워크 정보는 위협 분석에 상당히 의미 있는 자료로 활용된다.
하지만 DNS 쿼리 자체가 휘발성 정보라 기록이 오래 남지 않아 이를 해결하기 위하여 Passive DNS 자료로 별도 기록 보관하고 있다. 이번 피싱 사례에서 발견된 'servicenidnaver[.]com' 서버로 쓰인 Passive DNS 주소들도 공개했다.
그런데 자세히 보면 2020년 11월 발견된 피싱 서버 'midsecurity[.]org' 주소가 이미 다른 아이피 주소에서 사용된 이력을 확인할 수 있다.
위협 행위자가 등록한 것으로 관측되는 'naver.midsecurity[.]org' 도메인은 지난 11월 17일 [바이든 시대, ‘북한 비핵화 협상과 체제 안전 내용’ 담은 APT 공격 징후 발견] 내용으로 보고된 바 있다.
해당 C2 서버에는 기존 '탈륨(=김수키)' 조직이 사용한 인프라가 발견 됐고, 다시 '코니' 조직과도 연결됐다. 매우 복잡한 과정을 거쳐 두 APT 조직간의 위협 인프라 공유를 확인한 것이다.
스피어 피싱 공격에 사용한 악성 MS Word DOC 파일이나 APK 안드로이드 악성앱 등의 종합적 전술, 기법 및 절차(TTPs / Tactics, Techniques, and Procedures)가 정확히 일치하고 있는 것으로 조사됐다.
ESRC는 탈륨 조직이 사용한 광범위한 위협 인프라 공유 현황을 조사하는 과정 중에서 몇가지 중요한 단서를 확보했다.
먼저 'naver.midsecurity[.]org' 도메인을 C2서버로 사용한 '바이든 시대 북한 비핵화 협상의 또 하나암초 - 북한 체제안전 보장문제.doc' 악성 파일의 경우 몇 단계를 거쳐 이용자 정보를 수집하고, 선택적으로 'KB2999226.txt, KB2534111.txt' 파일을 내려 보낸 정황을 확인했다.
텍스트 파일 중 일부는 Base64 코드로 인코딩된 상태로 디코딩 과정을 통해 Cab 압축 파일로 변환된다. 그리고 압축 파일 내부에는 5개의 추가 파일이 존재한다.
이번 탈륨 조직의 서버 인프라를 조사하며 확인한 악성 파일과 지난 5월 코니 시리즈의 악성 코드 명령 체계를 비교해 보면, 파일명은 달라졌지만 배치파일 명령이 동일한 것을 확인할 수 있었다.
더불어 DLL 악성 파일의 Custom Base64 코드 방식도 유사하게 사용된 것으로 분석됐다.
이외에도 탈륨 서버 인프라에서는 안드로이드 악성앱 'refund.apk' 파일과 탈취된 감염자 로그 등이 다수 발견 됐는데, 기존 코니 시리즈와 함수 및 통신 방식이 일치한 것으로 확인됐다.
이외에도 'cloudsecurityservice[.]net' 서버에서 유포된 'json.apk' 악성앱은 'naver.midsecurity[.]org' 서버와 통신하는 'refund.apk' 앱과 기능이 대부분 동일하며, C2 서버도 서로 연결 된다.
ESRC는 이번 탈륨 조직이 사용한 서버 인프라를 조사하는 과정에서 의도적인 거짓 표식(False Flag) 가능성도 검토를 진행했으며, 여러 파일들이 업로드된 시점과 PHPMailer, 공격에 사용된 기술 등을 종합적으로 분석했다.
특히, 다양한 호스트와 연결된 기록들은 단기간 정교하게 조작할 수 없다는 점과 이전 사례들과 마찬가지로 TTPs 등의 유사성이 높은 점에 주목했다.
ESRC 관계자는 “이번 사례에서 '코니(Konni)'와 '탈륨(Thallium)' 조직의 연계 가능성이 한단계 더 높아졌다는 점에 주목하고 지속적인 연관관계 관찰이 필요하다”며 “공격 과정에서 의도치 않게 남겨진 각종 디지털 증거 및 단서를 통해 위협배후에 보다 근접할 수 있는 기회로 삼고, 공격성이 갈수록 증대되고 있다는 점에 각별한 주의가 필요하다. 특히, 컴퓨터 뿐만 아니라 스마트 디바이스 보안강화를 위해 신뢰하기 어려운 앱을 설치하거나 URL 링크를 함부로 클릭하지 않도록 하며, 모바일 보안제품도 생활화하는 노력이 필요하다”고 강조했다.
★정보보안 대표 미디어 데일리시큐!★