출처 : https://www.boannews.com/media/view.asp?idx=119879&kind=

북한 정부의 지원을 받는 것으로 알려진 김수키(Kimsuky) 해킹그룹이 정상적인 보안 설치 프로그램으로 위장한 악성파일을 유포하는 공격이 포착됐다. 이번 공격은 국가사이버안보센터(NCSC) 합동분석협의체가 지난 6월 9일 공개한 ‘한국인터넷진흥원(KISA) 보안업데이트를 위장한 악성코드’의 변종으로 확인됐다.
 

▲‘Mail Online Security’라는 이름의 정상 보안 프로그램 설치파일로 위장한 모습[자료=이스트시큐리티 ESRC]

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 setup 이름의 iso 파일로 위장해 유포되는 해당 파일을 분석한 결과, 내부에는 setup.exe 파일이 포함돼 있다고 밝혔다. 이 악성 파일은 방패 모양 아이콘과 ‘setup.exe’ 파일명 그리고 ‘Mail Online Security’ 파일 속성이 있어 정상 보안프로그램처럼 오인하도록 유도하고 있다.

사용자가 파일을 실행하면, Mail Online Security를 설치 화면을 보여주며 정상 보안프로그램 설치파일인 것처럼 위장한다. 하지만 백그라운드에서는 ‘unrar.exe’를 통해 ‘plugins.rar’를 ‘123qwe!’로 패스워드로 압축을 해제하고 생성된 nos_mon.dll, nos.dll 등 dll 파일들을 실행한다.
 

▲컴파일된 pascal을 디스어셈블한 화면[자료=이스트시큐리티 ESRC]

dll 파일들의 기능은 다음과 같다. ‘nos_mon.dll’ 파일은 현재 열려진 Chrome.exe에 페이로드 Dll을 인젝션한다. ‘nos.dll’ 파일은 Dll 하이재킹을 통해 악성 페이로드를 실행한다. 해당 절차는 ①‘C:\Program Files\Chrome’ 경로를 ‘C:\ProgramData\Chrome’로 복사 ②리소스에 있는 최종 페이로드를 chrome.exe가 위치한 곳에 ‘version.dll’로 복사 ③윈도 폴더에서 ‘version.dll’을 위 크롬 실행 파일 경로의 ‘versions.dll’ 이름으로 복사(정상적으로 version.dll의 Export Function을 포워딩해 오류 방지 목적) ④chrome.exe를 ‘Chrome Updater’ 이름으로 자동 실행 등록 및 실행 ⑤최종으로 ‘chrome.exe’는 변조된 ‘version.dll’을 실행 등으로 진행된다.

최종적으로 변조된 ‘version.dll’은 명령제어 기능을 수행하며, 명령제어 기능에는 자가삭제, 파일 업로드·다운로드, 프로세스 PID·이름 리턴 등을 포함하고 있다.
 

▲chrome.exe에 실행된 악성 version.dll[자료=이스트시큐리티 ESRC]

ESRC 관계자는 “여러 지표들을 분석한 결과, 이번 공격이 북한 정찰총국이 배후에 있는 김수키 해킹그룹의 블루 에스티메이트(Blue Estimate) 캠페인의 연장선으로 결론지었다”며, “대북 관련 사이버 위협 수위가 나날이 증대되고 있는 만큼, 개인뿐 아니라 보안 주체의 세밀한 관리가 필요한 시기이기 때문에 수신된 이메일의 진위 여부를 면밀히 따져보고 신뢰가 확보되지 않는 메일의 첨부 파일과 URL에 무심코 접근하는 행위를 지양해야 한다“고 강조했다.