2019-12-07 12:40 (토)
라자루스 APT 공격조직, 텔레그램 메신저로 '진실겜.xls' 악성파일 공격 시도
상태바
라자루스 APT 공격조직, 텔레그램 메신저로 '진실겜.xls' 악성파일 공격 시도
  • 길민권 기자
  • 승인 2019.06.27 12:28
이 기사를 공유합니다

▲ ‘진실겜.xls’ 파일 화면
▲ ‘진실겜.xls’ 파일 화면
북한 정부의 후원을 받고 있는 것으로 추정되는 해킹그룹 라자루스(Lazarus) 조직이 텔레그램 메신저를 통해 '진실겜.xls'이라는 파일명의 악성 문서 파일을 유포하고 있는 것으로 조사됐다. 각별한 주의가 요구된다.

6월 10일경 이스트시큐리티 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했다. 내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었다고 밝혔다.

ESRC는 며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있다. 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요하다고 경고하고 있다.

이번 악성 문서파일은 'PC용 텔레그램' 메신저의 다운로드 폴더에서 식별되었으며 암호화폐와 관련된 사용자를 대상으로 유포된 것으로 파악됐다.

'진실겜.xls'는 인터넷에 있는 오래된 예제용 매크로 코드에 악성코드를 추가했으며, Auto_Open 함수는 문서가 열리면 자동으로 실행하게 지정해둔 키워드다.

ESRC 분석에 따르면, 악성 파일 제작자의 목적은 봇(Bot)이며, 오피스 프로그램을 사용할 때 발생하는 보안 경고를 스킵하고 매크로 기능을 허용하면 악의적인 코드가 작동해 보안위협에 노출된다.

엑셀 매크로에서 Auto_Open 명령이 실행하는 'Doc_Data' 함수는 악성 파워쉘 스크립트 파일을 생성하고 실행한다.

즉 실제 악성 행위는 파워쉘에 의해 동작하며 기존 Shape Changer 인텔리전스 보고서와 유사한 특징을 보인다.

Shape Changer 인텔리전스의 사례에서는 감염자의 OS가 맥인 경우에도 추가 악성 파일을 다운로드해 실행되게 했지만 이번 사례에서는 맥 OS 전용 기능은 발견되지 않았다.

'진실겜.xls'에서 드롭되어 실행되는 파워쉘 악성 파일은 C2를 제외하고 명령제어 기능을 포함한 서버와 통신할 때의 특징과 코드 모두 동일하다.

이번 파워쉘 코드에서 사용된 C2 목록은 아래와 같다. 분석 당시, C2가 살아있었고 감염자의 정보 수집 명령만 수행 중인 것으로 확인되었다.

https://czinfo[.]club

https://pegasusco[.]net

https://smilekeepers[.]co

관련해 Shape Changer 인텔리전스 보고서는 기존 GhostPuppet 오퍼레이션과 관련성이 있는 것으로 조사되었다.

▲ GhostPuppet, Shape Changer, 진실겜.xls의 연관성
▲ GhostPuppet, Shape Changer, 진실겜.xls의 연관성
이번 공격에서 사용된 공격 방법이나 도구를 비롯해 공격 대상의 특성을 고려했을 때, 동일한 조직이 연계된 것으로 보인다.

ESRC 관계자는 “연관성이 높은 기존 공격에서도 암호화폐 관련자에게 유포됐던 이력이 있으며 공격자가 사용하는 악성파일의 특징이나 과정의 관련성을 보면, 이는 특정 조직이나 개인이 목적을 가지고 불특정 다수가 아닌 명확한 대상을 타깃으로 한 공격일 가능성이 높아 보인다”며 “분석 당시 C2와 통신이 가능했고 추가적인 악성 파일도 모니터링되었기 때문에 추가적인 피해가 발생할 수 있어, 이메일 혹은 메신저에서 직접적으로 파일을 전송받으면 실행하지 말고 최소한 백신으로 정밀검사를 해 PC가 감염되지 않도록 주의하기 바란다”고 당부했다.

추가 분석 정보는 Threat Inside의 인텔리전스 보고서를 통해 제공될 예정이다.

★정보보안 대표 미디어 데일리시큐!★