출처 : https://www.boannews.com/media/view.asp?idx=120645&kind=

북한배후 해킹 그룹으로 지목된 코니(Konni)는 수년간 국내에서 해킹 공격을 지속하고 있으며, 특히 금융정보 탈취 목적에 높은 우선순위를 두고 활동하는 것으로 알려졌다. 대북분야 종사자를 포함해 공격 대상이 폭넓게 병행 중인 점은 북한 연계 그룹의 고유한 특징 중 하나다. 이번에 포착된 악성 메일은 국세청 우편물센터에서 발송한 알림 서비스로 위장했다.
 

▲국세청 우편물센터로 사칭한 해킹 메일 화면[자료=지니언스]

지니언스 시큐리티 센터(이하 GSC)는 지난달 말에 포착된 코니 해킹그룹의 위협 활동을 꾸준히 추적 관찰하고 있다. 이번 사례는 국세청 우편물센터에서 발송한 알림 서비스처럼 위장했다. 국세청은 납세자에게 알릴 내용이 있을 때 납세자의 주소지로 세금 고지서나 신고 안내문과 같은 우편물을 보내는데, 납세자가 제때 확인 못하면 세금이 체납될 수 있다. 공격자는 이런 점을 악용해 스피어피싱 공격 테마로 삼았다.

세금 관련 이슈는 기업 담당자에게는 매우 민감한 소재 중 하나다. 이번에는 대북분야 관련 기업의 대표가 실제 공격을 받았다. 이메일에는 ‘소명자료 제출요청 안내.zip’ 이름의 압축 파일이 첨부됐으며, 압축 파일 내부에는 2개의 HWP 문서 파일과 함께 ‘소명자료 목록(국세징수법 시행규칙).hwp.lnk’라는 파일명의 LNK 바로가기 파일이 포함됐다. 담당자가 해당 파일을 클릭하게 되면 피해자 컴퓨터의 주요 정보를 수집해 유출을 시도하고, 다단계(VBS, BAT, Powershell) 명령을 통해 순차적으로 추가 악성 파일 설치 등 잠재적 위협에 노출된다.

일명 ‘코니(Konni)’로 명명된 APT 캠페인은 2017년 시스코의 탈로스에서 처음 명명했다. 탈로스 보고서에 따르면 2014년부터 약 3년간 알려지지 않은 원격 관리 도구가 사용됐다. 이전 사례 기준으로 마이터어택(MITRE ATT&CK)은 코니 캠페인과 APT37 그룹이 잠재적으로 연결되는 몇 가지 증거가 있다고 밝혔으며, 실제 피해 대상자가 오버랩되는 경우도 발견된다.

특히, 국내에서는 .exe 및 .chm 유형뿐 아니라 .hwp, .xls, .doc 등 문서 기반 악성파일을 사용한 공격이 지속 보고되고 있다. 올해 1월부터는 세무 사무실에서 보낸 급여대장 위장, 공정거래위원회 서면 실태조사 사전 예고 안내 통지문 케이스와 함께 세무조사 통지서 사칭 등 금융관련 테마로 공격이 수행됐다. 특정 기업의 급여대장 사칭에서는 chm 컴파일된 html 도움말 파일형 악성코드, 그 이후로는 lnk 바로가기 파일형 악성코드가 사용되기도 했다.
 

▲악성 파일 전체 흐름도[자료=지니언스]

공격자는 다양한 실전 경험을 통해 효과적인 위협 시나리오를 기획하고, 거점용 C2(명령제어) 서버를 구축해 본격적인 공격을 준비한다. 그리고 공격 대상자를 선정한 후 현혹될 만한 주제의 내용과 악성 파일을 개발해 스피어피싱 공격을 수행했다. APT37 그룹과 다르게 코니 그룹이 사용한 LNK 파일은 포맷 내부에 16진수 스트링 데이터를 블록화해 파워쉘 명령을 수행한다. 정상 문서 파일 뒤에는 악성 ZIP 또는 CAB 압축 포맷이 연이어 내장된 것도 특징이다. 압축 내 악성 VBS 스크립트와 BAT 파일 등을 파워쉘 명령어로 풀어 호출하게 된다. 코니 그룹이 사용하는 악성 스크립트 명령에는 보통 ‘pakistan.txt’ 파일의 존재 여부를 확인하는 비교 루틴이 있다. 해당 파일이 경로에 존재하면 주요 명령을 점프해 퇴장(EXIT)하는 루틴으로 이동하게 된다. 따라서 이 파일은 일종의 킬 스위치 역할을 할 수 있어 공격자가 의도적으로 활용한다.

이번 공격 사례의 경우 악성 LNK 바로가기 파일 구조 내부에 ‘자금출처명세서(부가가치세법 시행규칙).hwp’ 정상 문서와 ‘04769.zip’ 파일이 임베디드 된 형태로 보관됐다. ‘04769.zip’ 파일 내부에는 총 5개의 BAT 파일이 존재하고, ‘start.vbs’ 파일에 의해 맨 처음 호출되며, 배치 파일 내부명령에 따라 순차적으로 악성 행위를 수행한다.
 

▲Genian EDR에서 코니 위협 캠페인 행위 탐지 화면[자료=지니언스]

공격 시나리오...피싱, 정찰 및 정보 탐색, 스피어피싱 메일 발송
이번 공격은 크게 ①피싱 ②정찰 및 정보 탐색 ③스피어 피싱 메일 발송 및 첨부파일 등의 단계로 이뤄진다. 초기 접근 단계인 ‘피싱’에서는 지난달 27일 오후 4시경, 국세청 우편물센터 발송알림 안내 서비스처럼 위장한 공격이 발견된다. 화면상 발송지 이메일은 admin@etax.go.kr로 정상적인 주소처럼 보이지만, 실제로는 일본의 도쿄플레이라는 아동 놀이 관련 웹사이트에서 발신됐다. 공격자는 해당 사이트에서 운영되는 실제 웹 메일 서비스를 악용해 발신지 주소를 임의로 조작한 것으로 추정된다.

두 번째로, ‘정찰 및 정보 탐색’이다. 공격자는 수신자가 이메일을 열람하는지 모니터링하기 위해 웹 비콘(Web Beacon) 이미지 태그를 이메일 내부에 교묘히 삽입해뒀다. 여기서 웹 비콘에 사용된 곳과 첨부파일 ‘소명자료 제출요청 안내.zip’ 링크 주소는 서로 같은데, 국내 포털 회사처럼 위장된 ‘naver.cloudfiles001[.]com’ 도메인이 동일하게 사용됐다. 이메일 발신지를 조작하는데 활용된 일본 도쿄플레이 메일 서비스는 특정 주소로 연결된 것으로 확인됐다. 각 도메인이 연결된 IP 주소인 ‘103.241.128.211’은 일본 소재지로 서버가 할당됐다. 공격자는 웹 메일 서비스를 악용해 이메일 발신 계정을 국세청처럼 보이도록 변경했다.

세 번째로, ‘스피어피싱 첨부파일’이다. 공격자는 악성 첨부 파일이 포함된 스피어피싱 메시지를 피해 대상자에게 전달해 파일을 열람하도록 유도한다. 이번 공격 사례에서 사용된 첨부 파일은 ‘소명자료 제출요청 안내.zip’ 이름의 압축 파일이다. 압축을 풀면 총 3개의 파일이 존재하는데, 2개는 HWP 문서이며, 나머지 하나는 HWP 문서처럼 가장한 2중 확장자의 LNK 파일이다. LNK 바로가기 파일은 약 300MB 이상으로 비정상적으로 큰 용량이다. 나머지 두 개의 HWP 파일은 정상적인 한컴오피스 문서로 이용자를 현혹하기 위한 일종의 미끼로 활용된다. 압축이 해제된 후 ‘소명자료 목록(국세징수법 시행규칙).hwp.lnk’ 파일이 실행될 경우 본격적인 악성 명령이 작동하며, 이용자의 개인정보 등이 외부로 유출되는 피해를 보게 된다. 또한, LNK 악성 파일의 경우 일반 문서로 가장하거나 보안 솔루션 탐지를 최대한 회피하기 위해 내부에 불필요한 더미코드가 의도적으로 패딩돼 있다.
 

▲Genian EDR에서 코니 위협 캠페인 행위 탐지 화면[자료=지니언스]

링크 파일 등 7가지 파일...명령 실행, 악성파일 설치 등 역할
먼저, ‘소명자료 목록(국세징수법 시행규칙).hwp.lnk’ 파일은 전형적인 LNK 유형의 악성 명령을 담고 있다. LNK 속성 정보 중 ‘대상’ 경로 앞단에 특정 명령과 함께 별도의 인자가 실행되도록 구성되지만, 화면상에 보이지는 않는다. 또한, ‘설명’ 부분에는 마치 문서처럼 ‘hwp file’ 문구를 삽입한 것도 특징이다. LNK 내부에 포함돼 있던 cmd.exe 파일에 의해 악성 코드가 실행된 공격 스토리라인을 EDR 분석을 통해 자세히 살펴볼 수 있고, 이를 통해 신속한 위협 헌팅이 가능하다.

‘start.vbs’ 파일은 압축 파일이 풀린 후 가장 먼저 실행되는 파일로, Visual Basic Script 명령을 수행한다. 파일 내부에는 특정 명령어가 포함됐으며, 압축이 풀렸던 동일 경로의 ‘73888454.bat’ 배치 파일을 실행하는 명령을 수행하고 종료한다.

‘73888454.bat’ 파일은 레지스트리 등록, 피해 컴퓨터 정보 수집 명령 호출, 파일 다운로드 등을 수행한다. 파일 내부에 ‘30966118.bat’ 파일이 존재할 경우 레지스트리 Run 경로에 ‘start.vbs’ 파일을 등록해 컴퓨터가 부팅할 때마다 자동 실행되도록 구성한다.

‘30966118.bat’ 파일은 ‘73888454.bat’ 명령에서 파일 존재 조건 성립과 레지스트리 등록 후 호출되는 배치 파일이다. ‘19288086.bat’ 파일 호출을 통해 C2 서버로 접근하고, 변수로 지정된 ‘85214.zip’ 파일 다운로드를 수행한다. 공격자는 감염된 컴퓨터명을 확인해 선별적으로 추가 악성 파일을 설치하는 1:1 맞춤형 전략을 구사하고 있다.

‘32981202.bat’ 파일은 피해 컴퓨터의 주요 정보를 수집하는 인포스틸러 목적의 정보탈취 기능을 수행한다. 이 파일은 컴퓨터에 저장된 주요 정보들을 수집한 후, 5초 지연 후에 C2 서버로 자료 업로드를 수행하며, 이때 ‘07856126.bat’ 파일을 이용해 자료를 암호화해 전송한다.

‘19288086.bat’ 파일은 환경변수 조건에 따라 파워쉘 명령을 통해 [RC4+Base64] 암호화와 다운로드 설정 루틴이 있다. 특정 변수명에 따라 암호화 루틴이 작동하는데, ‘73888454.bat’ 파일에서 호출될 때 사용된다. ‘07856126.bat’ 파일도 [RC4+Base64] 암호화 루틴을 갖고 있으며, 사용자 정보를 C2 서버로 유출할 때 암호화하는 용도로 사용된다.
 

▲코니 악성코드 전체 실행 순서도[자료=지니언스]

APT37와 코니 캠페인 공격의 차이점
올해 상반기 발견된 APT37과 코니 캠페인의 링크 악성 코드를 비교하면 코니의 경우 Base64 인코딩을 사용하지만, APT37에서 사용된 LNK 악성코드는 파워쉘 인자 값을 사용해 내부에 삽입한 정상 문서와 악성 BAT 파일의 위치를 지정해 사용한다. Base64 인코딩된 값을 디코딩해 비교해 보면 일부 유사하지만, APT37의 경우 정상과 악성 파일이 그대로 내부에 삽입된 형태라면, 코니의 경우 CAB 또는 ZIP 압축 형태를 포함한 점이 서로 다르다.

코니 APT 캠페인은 올해 1월부터 6월까지 국내에서 관련한 공격이 지속적으로 발생하고 있다. 일반적으로 스피어피싱 공격이 가장 많은 비중을 차지하지만, 워터링 홀이나 공급망 공격, SNS 기반 피싱도 성행하고 있다. 특히, 2019년부터 알려진 외화벌이 목적의 외주 개발자가 해킹까지 동참하는 이른바 아웃소싱 공격을 포함해 다양한 위협이 전개 중이다.

코니 공격 사례는 주로 인터넷으로 주식이나 비트코인 등 금융 또는 가상자산 분야 거래자를 노려 접근하는 양상을 보인다. 주로 금전적 수익을 목적으로 수행하는 공격으로 분류되는 이유 중 하나인데, 특이한 것은 대북분야 종사자에 대한 공격도 오버랩되고 있다.

지니언스 관계자는 “세계적으로 북한 배후로 지목된 다양한 위협 그룹이 존재하고, 보안 기업 또는 기관마다 구분하는 조직명이 다를 수 있다. 공통적으로는 ‘라자루스(Lazarus)’, ‘김수키(Kimsuky)’ 등이 대표 명칭으로 사용되고 있다. 코니처럼 악성 파일 구조나 위협 인프라 등 TTPs 구분에 따라 파생되거나 별도로 명명된 조직도 다양하게 있다. 위협배후 인물의 소속 변경이나 기술 공유, 거짓 깃발(False Flag) 등의 교란 작전으로 혼선이 유발될 수도 있어 오랜 기간 꾸준한 연구와 관찰은 물론, 다양한 분석 방법론이 필요하다”고 말했다.
[김영명 기자(boan@boannews.com)]