분석 정보/악성코드 분석 정보

[주의]한국 정부 기관을 표적으로 삼는 APT 공격 발견

TACHYON & ISARC 2012. 5. 15. 18:04
1. 개요


잉카인터넷 대응팀은 국내 특정 정부기관의 내부 공직자를 공격 표적으로 과감히 지목한 지능형지속위협(APT) 사례를 발견하였다. 지금까지 발견되었던 방식과는 다소 다른 방식을 이용하고 있어 각별한 주의가 필요할 것으로 보인다. 특히, 주요 국가기관의 이용자를 표적 대상으로 삼았다는 점에서 다른 형태의 APT 공격과는 구별되는 점이다. 잉카인터넷 대응팀은 해당 이슈를 발견하자마자 "한국인터넷진흥원(KISA)"과 "국가사이버안전센터(NCSC)", "기타 보안업체" 등 유관기관들에 신속하게 관련 정보를 공유한 상태이다. 또한, nProtect Anti-Virus 제품군에 진단/치료 기능을 긴급히 업데이트를 완료한 상태이고, 분석 담당부서에서 상세 정밀 분석을 진행 중에 있다.



- 재외동포 주의 사항으로 위장하여 정부기관 사용자를 유혹
- 한글 이용과 "Koreans" 등의 내용을 사용, 한국인 표적용 특화화 공격
- 정부 기관의 고위공직자를 공격 대상으로 하는 정치적 도발 시도?
- 실시간 보안관제와 신속하고 정확한 대응으로 초기 진압!
- 바로가기(Lnk) 파일의 대상 명령 실행기법을 이용해서 EXE 확장자 변조

2. 유포 방식 및 내용

국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견
http://erteam.nprotect.com/280

시간차를 이용한 스토킹 형태의 대만 APT 공격
http://erteam.nprotect.com/270

국내 겨냥 최신 APT 공격자 밀착추적 및 집중해부
http://erteam.nprotect.com/251

국내 유명 기업 표적 공격(APT)형 수법 공개
http://erteam.nprotect.com/249

일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견
http://erteam.nprotect.com/247

악성파일은 이메일을 통해서 은밀히 공격이 시도되었으며, 아래 화면은 실제 배포된 내용이다. 발신자는 "jim tom" 이라는 아이디를 사용하고 있으며, 구글의 웹 메일 서비스인 Gmail 계정을 사용하였다.


받는 사람 목록에는 "undisclosed-recipients:" 라는 내용만 포함되어 있으나, Blind Carbon Copy(BCC) 기능을 이용해 수신자 이메일 주소를 숨기는 수법을 이용했다.


이메일에 첨부되어 있는 "Overseas_Koreans_Note.rar" 압축파일은 내부에 다음과 같은 파일을 포함하고 있다. 압축을 해제하면 3개의 파일이 생성되지만, 폴더 옵션의 조건에 따라서 "Overseas_Koreans_Note.rtf.lnk" 만 보여지게 된다.


왜냐하면, "Overseas_Koreans_Note.rtf" 파일과 "5.rtf" 파일은 파일 속성이 "숨김"으로 설정되어 있기 때문이다. 또한, "Overseas_Koreans_Note.rtf.lnk" 파일의 경우 링크파일(Lnk)이기 때문에 확장자는 실제 사용자에게 보여지지는 않는다.


"Overseas_Koreans_Note.rtf.lnk" 바로가기 파일은 대상명령에 다음과 같은 명령을 실행하여 "5.rtf" 악성 EXE 파일과 "Overseas_Koreans_Note.rtf" 정상 RTF(Rich Text Format) 문서 파일을 실행시켜 준다.

대상 명령 :  %comspec% /c "start 5.rtf&start Overseas_Koreans_Note.rtf"


"Overseas_Koreans_Note.rtf.lnk" 파일의 내부 구조는 다음과 같이 실행 명령어가 포함되어 있는 것을 알 수 있는데, 공격자는 먼저 악성파일 "5.exe" 파일의 바로가기(Lnk) 파일을 만든 후에 "5.exe" 파일을 "5.rtf" 이름으로 파일명을 변경한 후 바로가기(Lnk)의 실행 명령을 상기 대상 명령과 같이 변경하여 제작을 한 것이다. 이를 통해서 "5.rtf" 파일은 EXE 실행 확장자를 사용하고 있지 않아도 실행이 사용자 몰래 실행이 가능하다는 취약성을 가지고 있다.


"5.rtf" 악성파일은 [중국어]로 제작되어 있으며, 원본 파일 이름은 StartUI.EXE 이다.


악성파일이 실행되면 "5.rtf" 파일과 "Overseas_Koreans_Note.rtf" 파일이 연속적으로 자동 실행되고, 사용자를 속이기 위해서 다음 화면과 같은 정상적인 문서 내용을 보여준다.


그런 후에 "5.rtf" 실행형 악성파일은 반복적으로 홍콩의 특정 호스트로 접속을 시도하고, 추가 명령을 대기하게 된다.


이러한 악성파일에 감염이 되면 공격자의 추가 명령에 따라 개인정보 유출 및 지속적인 감시 등을 통해서 다양한 피해를 입을 가능성이 높다.

3. 마무리

정치, 사회적인 목적을 위해서 정부나 국가기관 등을 상대로 해킹을 수행하는 일련의 행위를 보통 핵티비즘(hacktivism)이라고 말하는데, 표적공격(APT) 대상에도 조금씩 그 범위에 포함되고 있는 것으로 보인다.

nProtect Anti-Virus 패턴에는 문서파일처럼 위장된 "5.rtf" EXE 파일을 진단하고 치료할 수 있도록 긴급 업데이트를 완료한 상태이다. 따라서 최신 버전으로 업데이트를 수행 후에 검사를 진행하고 감염시 치료하면 된다.


위와 같은 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.