북한 정부 지원 해킹그룹으로 알려진 김수키(Kimsuky) 조직이 코로나19 이슈를 악용해 APT 공격을 진행하고 있는 정황이 포착됐다.

김수키 조직은 지난 2월 28일, 이미 '코로나 바이러스 관련 이사장님 지시사항'이라는 이메일 제목으로 스피어피싱 공격을 진행한 적이 있다.

이번에 발견된 악성 파일은 'COVID-19 and North Korea.docx' 파일명으로 유포되었으며, TTPs 등을 분석한 결과, 국내 기업과 기관을 대상으로 스피어피싱과 APT 공격을 지속해 오고 있는 김수키 조직의 '스모크 스크린' 캠페인의 일환으로 추정된다.

이스트시큐리티 ESRC(시큐리티대응센터) 분석에 따르면, 이번에 발견된 'COVID-19 and North Korea.docx' 파일을 실행하면, 공격자가 미리 설정해 놓은 c2로 연결된다. 이 워드 파일에는 악성 매크로가 포함되어 있으며 사용자의 매크로 실행을 유도한다.

만약 사용자가 ‘콘텐츠 사용’을 클릭하게 되면, Dear Friends로 시작하는 내용의 워드 파일 내용이 보인다. 하지만 이는 정상 파일처럼 보이도록 위장한 것, 백그라운드에서는 워드 파일에 포함되어 있던 악성 매크로가 동작한다.

워드파일을 분석해 보면 내부에서 숨겨져 있는 C2 호스트를 확인할 수 있다. 이번에도 역시 기존 김수키 코드에서도 여러차례 목격된 적이 있는 바운더리 문자열 '7e222d1d50232'을 사용했다.

이번 공격에서 특이한 점은 윈도우 OS가 아닌 맥OS의 MS오피스의 이용자를 타깃으로 하고 있다는 점이다. 만약 악성파일을 실행한 사용자의 사용환경에 Mac OS에 MS오피스 맥버전이 설치된 경우 공격자에게 사용자 정보가 유출될 수 있다.

이렇게 C2에 접속해 추가 악성파일을 내려 받게 된다. 그 중에는 두 개의 파이썬 스크립트 파일도 포함되어 있다. 내려받는 파이썬 스크립트 중 하나의 기능은 5분 마다 다음 사용자 정보들을 수집하고 새 악성코드를 다운로드 및 실행한다.

ESRC 측은 파일을 전송할 때 사용되는 특징은 기존 김수키의 방식과 동일하며, 전송에 성공하면 backup.zip파일을 삭제한다고 전했다.

또 하나의 파이썬 스크립트 기능은 감염된 맥OS 사용자의 기존 ‘기본 서식 파일’의 교체를 시도한다. 기존 파일 삭제 후 C2에 있는 파일로 교체를 시도한다. 이 파일이 교체되면 앞으로 사용자가 생성하는 문서에 바뀐 기본 서식이 적용되므로 '감염' 효과를 낼 수 있다. 교체 후에는 C2에서 새로운 악성코드를 다운로드 및 실행을 시도한다.

★정보보안 대표 미디어 데일리시큐!★