2024-11-23 23:00 (토)
12월, 북한 정부 후원 해킹조직 ‘금성121’의 HWP OLE 기반 APT 공격 포착돼
상태바
12월, 북한 정부 후원 해킹조직 ‘금성121’의 HWP OLE 기반 APT 공격 포착돼
  • 길민권 기자
  • 승인 2020.12.16 13:59
이 기사를 공유합니다

북한과 연계된 것으로 알려진 APT 그룹 활동 증가…주의
북한 정부 후원 해킹조직이 유포하고 있는 악성 한글문서파일 실행모습.(출처=이스트시큐리티)
북한 정부 후원 해킹조직이 유포하고 있는 악성 한글문서파일 실행모습.(출처=이스트시큐리티)

2020년 하반기에 들어 HWP 문서파일 공격기법에 변화가 감지되고 있다. 기존에 많이 쓰던 포스트스크립트(PostScript) 방식에서 오브젝트 연결 삽입(OLE) 방식으로 변화되고 있다.

이스트시큐리티 ESRC(시큐리티대응센터)는 12월 위협 행위자가 사용한 대표적 사례를 심층적으로 분석해 공개했다.

분석 내용에 따르면, 초기 침투 과정 1단계는 궁금증을 유발하는 이메일을 전달하는 것에서부터 시작한다.

대부분의 HWP 문서기반 공격은 이메일 첨부파일로 전달해 위협노출을 유도하지만, 간혹 웹 게시판에 등록해 불특정 다수가 받아 열람하는 방식이나 SNS 또는 메신저로 직접 전달하는 수법도 사용한다.

최근에 포착된 사례 역시 이메일로 전달하는 이른바 스피어피싱 전술이 사용됐다.

이메일 제목에는 '확인 부탁 바랍니다.'라는 표현이 담겨 있고, 본문 내용없이 첨부파일만 '붙임 1_참가신청서.hwp' 문서가 포함돼 있는 형식이다.

위협행위자는 공격 메일 발송 시 수신자가 최대한 호기심 유발을 자극해 첨부파일에 접근하도록 유도하는 것이 첫번째 목표다. 그리고 다운로드한 파일을 열고 다음 단계를 기다린다.

2단계는 신청서를 작성하도록 클릭을 유도하는 것이다.

만약 수신자가 해당 첨부파일을 다운로드 받아 실행하면, 특정 공모전 참가신청서 내용을 담고 있어 성명 등의 정보를 입력하기 위해선 반드시 화면을 선택해야 하는데, 바로 이 과정이 위협요소 시작의 가장 핵심이다.

보기에 별다른 특이점이 보이지 않지만, 사실 이 문서는 사각형 투명 오브젝트가 전체영역 크기로 설정돼 있고, 그것을 클릭할 경우 HWP 문서 내부의 악성 실행파일이 호출된다. 문서를 편집하기 위해선 반드시 이 과정이 필요하다.

물론, 한컴오피스 2020 제품의 경우 연결 문서가 즉시 실행되는걸 우선 차단해 컨트롤 키를 누른 채 클릭해야 하고, 보안 위험 안내 메시지를 출력해 외부 개체 또는 링크 실행을 기본 차단해 문서 보안 수준을 유지한다.

따라서 이런 화면을 보게 될 경우 절대 허용하지 말고 즉시 취소하는 것이 안전하다.

단계별 내용을 정리해 보면, 이메일에 악성 HWP 문서를 첨부해 전달하고, 보안 취약점이 아닌 정상적인 OLE 기능을 악용해 악성 모듈을 문서에 삽입한다. 그런 후 실행 유도하는 과정을 거친다.

■악성 HWP 문서 구조 분석

이메일에 첨부됐던 '1_참가신청서.hwp' 파일의 속성을 정리하면 다음과 같다.

HWP 문서의 내부 구조를 살펴보면 'BIN0002.OLE' 스트림이 포함된 것을 확인할 수 있다.

'BIN0002.OLE' 스트림에는 내부에 'HncApp.exe' 파일명으로 지정된 악성 파일이 포함된 것을 볼 수 있으며, 해당 파일 제작에 사용된 흔적과 HWP 마지막 수정자 계정인 'Julias Cesar'가 동일한 점을 비교할 수 있다.

공격자가 사용한 'Julias Cesar' 계정명이 마치 'Julius Caesar'와 흡사한데, 셰익스피어 작품에 나오는 줄리어스 시저를 모방한 것으로 추정된다.

OLE 파일에 포함된 EXE 파일의 속성 정보는 한국시간대 기준으로 12월 5일 제작됐다.

'HncApp.exe' 악성파일은 주요 함수와 핵심 루틴을 XOR 로직으로 인코딩해 숨겨두었다.

실행 절차는, 오프셋 0x9e00 영역부터 16바이트 값을 가져와 XOR 디코딩 키로 사용하고 다음 4바이트를 파일 사이즈로 사용한다. 그리고 나머지 93,696 바이트를 디코딩 진행해 메모리에 로드한다. 디코딩된 실행 파일의 속성 정보는 12월 4일 제작됐다.

디코딩된 파일은 중복실행 방지를 위해 뮤텍스(Mutex) 코드로 'KMJuiidse_Mutex' 문자열을 사용한다.

복사본 생성 및 레지스트리 등록, 파워셸을 통한 명령제어(C2) 서버 주소 역시 16자리의 XOR 키로 디코딩 루틴을 사용한다.

더불어 파워셸 명령과 암호화된 C2 서버 주소를 조합해 은밀히 통신을 수행하며, 위협 행위자가 준비한 추가 응답과 명령에 따라 정보탈취 및 원격제어 등의 행위를 수행할 수 있다.

파워셸 통신은 cmd 명령을 통해 진행되고, 접속과 응답에 따라 임시폴더에 추가 파일이 생성된다.

지금까지 기술한 바와 같이 HWP 문서를 이용한 위협사례는 지속되고 있습니다. 특히, OLE 방식은 보안취약점 기법이 아니기 때문에 최신 제품과 업데이트된 버전을 사용해도 위험에 노출될 가능성이 존재합니다.

ESRC 측은 “이용자 심리를 파고드는 형태로 사이버 공격이 진화를 거듭하고 있고, 북한과 연계된 것으로 알려진 APT 그룹의 활동이 증가해 각별한 주의가 필요하다”며 “출처가 불분명하고 신뢰하기 어려운 내용의 접근을 자제하고, 이 메일 첨부파일은 항상 의심하며 백신프로그램 사용을 생활화해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★