위협분석보고서-genians

김수키(Kimsuky)그룹의 'BlueShark' 위협 전술 분석

Written by Genians | Oct 4, 2024 12:00:00 AM

◈ 주요 요약 (Executive Summary)

  • LNK, ISO, MSC, HWP 등 다양한 유형의 Malware 사용
  • 인터뷰, 특강, 강연 의뢰로 위장해 접근 시도
  • 원드라이브, 프로톤 드라이브 등 클라우드를 통해 악성파일 전달

 

1. 개요 (Overview)

○ 2024년 상반기 동안 한국을 주요 거점으로 활동한 다양한 APT(지능형지속위협) 공격이 관찰됐습니다. 그 중 김수키(Kimsuky) 그룹의 활동을 빼 놓고 중요도를 논하기 어려울 만큼, 그야말로 위협의 중심에 있습니다.

○ 이들이 사용하는 'BabyShark' 패밀리는 발전을 거듭하고 있으며, 그 형태에 따라 'ToddlerShark', 'ReconShark' 등 여러 가지 별칭으로 일컬어집니다. 이중, MS관리콘솔(msc) 기반 공격전술은 '지니언스 시큐리티 센터(GSC)' 분석 보고서를 통해 처음으로 소개된 바 있고, Genian EDR 제품을 통해 이상행위 탐지 및 대응이 가능합니다.

○ 한편, GSC는 마치 강연의뢰서 문서처럼 위장한 악성파일이 'blushaak' 사이트에 등록된 것을 확인했습니다. 이에 이번 패밀리명을 'BlueShark'으로 명명했고, 여러 사례를 종합해 분석하고자 합니다.

 

[그림 1] 강연의뢰서 파일명으로 다운로드된 악성파일 기록

 

○ 해당 조사 중 여러 명령제어(C2) 서버와 위협 행위자가 제작한 메일러의 언어학적 상관관계도 확인됩니다.

[그림 1-1] BlueShark 흐름도 및 피싱메일 발송기 연관관계

 

 

2. 배경 (Background)

○ 먼저 강연의뢰서 테마를 이용한 과거의 대표 사례를 살펴보겠습니다. 그중 2023년 5월 달에 발견된 두 가지 사례입니다. 공격을 받은 인물 중 한 명은 탈북민 출신의 대북기업 대표이고, 다른 한 명은 한국 내 북한인권단체 대표입니다.

[그림 2] 회신자 대상 후속 공격 화면

 

 ○ 북한분야에 종사하는 전문가 2명을 겨냥한 상기 스피어 피싱 공격은 며칠 간격으로 이어졌습니다. 각각의 이메일 화면을 보면 알겠지만, 공격자는 대학의 특정 연구원이 운영하는 글로벌 아카데미 특강 의뢰처럼 사칭해 초기 접근을 시도했습니다.

○ 수신자 이름 정도만 개별적으로 달라지고, 메인 본문은 거의 동일하게 유지됩니다. 이렇게 전송된 이후 회신이 오는 일부 수신자가 선별되고, 사전에 준비된 후속 공격이 진행됩니다.

 

°°° 대표님. 안녕하세요,
°°대 °°°°°°연구원에서 운영하는 °°° 글로벌 아카데미(°°°) 담당교수 °°° 입니다. 건강히 지내시는지요?

(중간 생략)

올해 국제기구 진출 준비하는 학생들을 위한 강의를 부탁드리고자 하여 이메일 드립니다.

  •  주제: 북한 인권 제도 및 실태 (한국어 강의)
(중간 생략)

감사의 표시로 소정의 강사료 육십만원(600,000원)을 지급해 드릴 예정입니다.
강의 가능하신 일시를 회신 부탁드리며, 혹시 추가 문의하실 내용이 있으시면 언제든 편하게 연락 주십시오.

감사합니다!
[표 1] 강의 의뢰를 요청하는 본문 일부

 

○ 본문에는 강의의뢰서 첨부파일이 보안방식 메일로 전달된 것처럼 설명돼 있습니다. 그리고 docx 또는 pdf 문서가 첨부된 것처럼 보여집니다. 첨부파일 영역에는 [보안문서] 표현이 담겨져 있지만, 클릭하면 피싱 사이트 유도를 위한 웹 페이지가 나타납니다.

[그림 3] 첨부파일 클릭 후 보여지는 피싱 유도화면

 

○ 당시 [보안메일] 안내 페이지처럼 위장됐던 피싱 유도서버의 도메인은 다음과 같습니다. 

Domain IP Country (Name Server)
cicctv.co[.]kr 112.175.50[.]142 KR (ns.gethompy[.]com)
dh00386[.]com 183.111.161[.]156 KR (ns.gethompy[.]com)
jinsungm[.]com 112.175.85[.]243 KR (ns.gethompy[.]com)
[표 2] 피싱 유도 서버 도메인 정보

 

○ 피싱 유도 페이지 하단에 존재하는 [보안메일보기] 링크 부분을 클릭하게 되면 수신자가 사용하는 이메일 서비스에 따라 모방된 피싱화면이 나타나게 됩니다.

 

[그림 4] 구글 지메일 로그인처럼 위장된 피싱 사이트 화면

 

○ 만약 피싱 페이지 내용에 속아 이메일 주소와 비밀번호 입력이 완료되면, 위협 행위자의 구글 계정으로 준비된 구글 드라이브로 연결됩니다. 이는 계정정보 유출 사실을 숨기기 위한 속임수 과정이며, 정상 강의 의뢰서 문서 화면을 보여주게 됩니다.

 

[그림 5] 위협 행위자 구글 드라이브의 정상 강의 의뢰서 문서 화면

 

○ 여기서는 정상 강의의뢰서 문서가 미끼용으로 사용됐습니다. 당시 공격시점에서는 docx, pdf 문서가 발견됐습니다. docx 문서 내용과 pdf 화면은 조금 다른 부분이 존재합니다.

○ pdf 내용에 군인 대상 대북정책에 대한 이해와 건전한 안보관, 균형있는 북한관 정립 등을 위해 운영되는 과정이라고 강의 내용을 설명하고 있습니다. 하지만, docx 문서에는 범세계적인 이슈와 국제공공재 창출에 대한 집중 교육 프로그램으로 설명하고 있는 점이 다릅니다.

 

[그림 6] 미끼용으로 사용된 강의의뢰서 docx 실행 화면

 

○ docx 문서가 원래 정상적인 내용이고, pdf 문서가 수정된 형태로 추정되고 있습니다. 이처럼 [강의의뢰서]를 활용한 위협활동이 국내에서 다양하게 전개된 것을 알 수 있는데, 'BlueShark' 전술을 이해하는데 중요한 요소 중에 하나입니다.

 

 

3. 공격 시나리오 (Attack Scenario)

○ 'BlueShark' 패밀리로 명명된 이번 건은 전형적인 스피어 피싱 공격 시나리오가 사용됩니다. 강연의뢰서 zip 첨부파일 내부에는 '***** 강연의뢰서_ *** 교수님 .docx.lnk' 바로가기 악성파일이 포함돼 있었습니다.

○ 위협 행위자는 이메일 계정정보 피싱과 함께 lnk 바로가기 유형 악성파일 등 여러가지 공격 수법을 사용했습니다. 그리고 침투시도 절차 중 정상 docx 문서파일을 속임수용 미끼로 적절히 연결합니다. TTPs(전술, 기술, 절차) 기반으로 공격 흐름을 비교해 보면, 위협 행위자의 다양한 흔적을 확보할 수 있습니다.

[그림 7] 피싱용으로 사용된 강의의뢰서와 lnk 악성파일용 강연의뢰서


○ 'BlueShark' 악성파일에서 사용된 강연의뢰서 문서에는 위협 행위자가 사용한 아이디가 식별됐습니다. 악성파일이 아닌 피싱공격 시나리오에 사용된 정상 docx 문서를 공유한 사용자도 'jounbi1989' 아이디로 동일한 것을 확인할 수 있습니다.

[그림 8] 피싱용으로 사용된 정상 docx 문서 공유 문서함 화면

 

○ 'BlueShark' 공격이전에 동일한 위협 행위자가 피싱 공격까지 수행했다는 정황을 확인할 수 있는 '스모킹 건' 흔적이라 할 수 있습니다. 아울러 유사한 공격을 조사하던 중 'insook85.son' 아이디 기록도 발견됐습니다. 한편, 강의의뢰서 테마와 함께 한국에서 발행하는 특정 영자신문사 칼럼니스트의 인터뷰 질의 사칭한 공격도 발견됐습니다.

[그림 9] 언론사 사칭 후 초기 접근한 화면

 

○ 이렇듯 일상적 정상업무 내용처럼 접근해 올 경우 수신자 입장에서 위험성을 판단하기 어려울 수 있습니다. 위협 행위자들은 이점을 노리고 있으며, 회신과 반응에 따라 본격적인 단말 침투 공격에 돌입하게 됩니다.

 

[그림 10] 인터뷰 사칭 악성파일 링크를 수신한 화면

 

 

4. 악성 파일 분석 (Malware Analysis)

○ 앞서, 인터뷰를 사칭해 전달된 악성파일은 각각 '원드라이브(OneDrive)', '프로톤 드라이브(Proton Drive)' 클라우드 서비스를 통해 다운로드가 진행됐습니다.

[그림 11] 클라우드 드라이브 통해 유포 중인 화면

 

○ 클라우드 드라이브를 통해 유포된 파일명은 'Interview(202406).hwp', 'Online Interview(Zoom).iso' 입니다. 먼저 'Online Interview(Zoom).iso' 파일은 디스크 이미지 압축형태로 내부에 두개의 파일이 포함돼 있습니다.

 

File Name Description
Questions_Online Interview(Zoom) with ******.msc Microsoft Common Console 문서 (.msc)
Zoom.exe Zoom 프로그램 (.exe)
[표 3] 압축내부에 포함된 파일 (일부 * 표시)

 

○ msc가 관리콘솔 기반 악성파일이고, exe는 화상통화 협업용 정상 줌(zoom) 파일입니다. msc 내부에 존재하는 핵심 악성코드는 'nzzstore[.]site' 명령제어(C2) 서버로 접속 후 추가 명령을 수행합니다. 이때 수행되는 명령은 정상문서 내용을 담고 있는 속임수용 구글 docx 오픈기능과 터미널 서비스 업데이트 명으로 위장한 작업 스케줄러 등록입니다.

[그림 11-1] msc 내부 xml 코드 일부

 

○  한편, 다른 악성파일 'Interview(202406).hwp' 문서는 내부에 OLE(Object Linking and Embedding) 데이터가 포함돼 있습니다. 배포용 문서 설정으로 암호를 알지 못하면 편집이 불가하고, 문서 정보 역시 비활성화로 상세조회가 불가합니다.

[그림 12] 배포용 문서 설정과 보안 경고 화면


○ 위협 분석가 입장에서 배포용 문서 설정으로 인해 [문서 정보] 확인이 어렵습니다. 하지만, hwp 문서 내부의 HwpSummaryInformation 문자열을 통해 마지막 저장자명이 'DELL2003SQL' 인점을 알 수 있습니다. 더불어 hwp 내부에 포함된 'BIN0001.OLE' 파일 패키지에도 실제 악성코드 개발 당시 사용된 위협 행위자의 Windows 계정명이 고스란히 남아 있습니다.


[그림 13] ole 패키지에 기록된 공격자의 계정

 

○ '인터뷰 요청'의 hwp 유형이 아닌 '강연의뢰서' 테마의 hwp 악성파일도 식별됐는데, 여기에도 'DELL2003SQL' 정보가 동일하게 존재합니다.

[그림 14] 강연의뢰서 hwp 파일내 계정명

 

○ 인터뷰 및 강연의뢰서 테마의 'BlueShark'는 계정피싱 공격뿐만 아니라 doc, hwp, msc 등  다양한 종류의 악성파일을 사용하고 있습니다. 특히, 최근에 눈에 띄는 특징 중 하나는 유효 디지털 서명이 탑재된 정상 유틸리티 'VbsEdit' 프로그램을 악용한 기술입니다. 이 공격 기술은 hwp 내부에 삽입된 ole 방식과 msc 파일 모두에서 관찰됩니다.

[그림 14-1] msc 내부 xml 코드 일부

 

○  msc 파일은 실행 작업 창의 '강연의뢰서.docx' 파일 Open 클릭을 통해 작동합니다. 그리고 내부에 지정된 명령과 매개 변수값을 통해 악성행위를 수행합니다.

 

[그림 15] msc 실행된 모습

 

○ msc 기반 공격전술도 조금씩 변화되고 있는데, 이번 사례의 경우 C2 서버의 각 매개 변수 값에 따라 개별 명령을 수행합니다.

Domain Parameter Function
rem.zoom-meeting.kro[.]kr d.php?na=view docx (decoy)
d.php?na=myapp pest.exe (download + schtasks)
d.php?na=myappfest pest.exe.manifest (download)

[표 4] msc 기반 공격전술 정보


○ 'pest.exe' 파일은 'Adersoft'의 'VbsEdit' 9.2.13.9 버전으로, 유효한 디지털 서명이 탑재된 런처(Launcher)입니다. 이 파일은 동일경로의 '.manifest' 에서 '<!--BEGIN_VBSEDIT_DATA' 부터 'END_VBSEDIT_DATA-->' 문자열 사이에 있는 Base64 코드를 실행하게 됩니다.

[그림 16] 'pest.exe'의 기능 중 '.manifest' 파일의 내용을 읽어오는 코드

 

○ 디코딩된 VBScript 파일은 위협 행위자가 지정한 'hungaryembassyofseoul' 구글 드라이브로 접근합니다. 그리고 파일명에서 'pprbstart--', '--pprbend' 식별자를 확인 후 중간에 포함된 Base64 인코딩된 값을 디코딩해 실행합니다. 분석시점 당시 중간코드가 없었지만, 일정시간 후에 등록된 것이 발견됩니다.

○ 디코딩된 명령어는 curl 다운로드 매개변수 값 통해 'communiquer[.]be' C2 서버로 통신을 시도하고, 'd.php?na=comline' 내용을 '%appdata%\Microsoft\sim.sid' 파일로 저장 후 호출됩니다. 이때 위협 행위자가 설정한 악성명령이 실행됩니다.

○ 'communiquer[.]be' C2 주소에서 배포된 미끼용 파일 두건은 전형적 'BlueShark' 템플릿이 사용됐습니다. 8월과 9월로 표기된 부분을 비교해 보면, 공통된 docx 문서에서 일부분만 변경되고 있습니다.

[그림 17] 'BlueShark' 문서 템플릿 비교 모습

 

○ 특히, 여기서 주목할 점은 앞서 기술한 hwp 문서에서 발견된 'DELL2003SQL' 계정이 docx 파일에서도 동일하게 사용된 점입니다. 위협 행위자 지표 중에 하나로 활용이 가능하지만, 언제든지 바뀔 수 있기 때문에 변화와 흐름을 연결하는 과정이 중요합니다.

 

[그림 18] 강연의뢰서 문서 작성자 정보

 

○ 이처럼 '강연의뢰서' 미끼용 정상 문서에 남겨진 사용자 정보도 'BlueShark' 위협 배후를 특정하고 인사이트를 얻는데 중요 단서가 될 수 있습니다. 또한, 추후 발견되는 악성파일의 상관관계 분석에도 중요한 지표가 될 수 있습니다.

 

 

5. 결론 및 대응방법 (Conclusion)

○ 이번 보고서를 통해 다양한 흔적과 악성파일간 연관관계 사례를 간단히 살펴볼 수 있었습니다. 위협 인텔리전스에 있어 OSINT(Open Source Intelligence) 자료는 매우 유용합니다. 흩어져 있던 퍼즐조각을 맞추고 관찰하는 것은 또 다른 인사이트를 얻는데 나름 도움이 됩니다.

○ 사이버 위협은 갈수록 지능화·고도화되는 추세입니다. 기관 및 기업은 촘촘한 보안망을 바탕으로 내부정보 유출 피해를 방지하고, 정보시스템을 안정적으로 운영하기 위해 체계적인 보안시스템 구축 및 운용이 필요합니다. Genian EDR 제품은 단말에 유입되는 알려진 위협지표 뿐만 아니라, 알려지지 않은 신규 악성파일의 이상행위 자체를 탐지하는 차세대 단말 보안시스템 입니다.

[그림 19] Genian EDR에서 msc 악성파일 실행행위 탐지 화면

 

○ 만약 백신프로그램 시그니처로 msc 변종 악성파일 초기 유입 탐지를 못했다 하더라도, Genian EDR 제품에서는 실행 행위 자체를 즉각 식별할 수 있습니다. 강연의뢰서로 위장된 hwp 악성문서는 'Genians IoC'를 통해 Malware 탐지도 가능하지만, ole 기능으로 drop되는 이상행위 자체를 'XBA 룰' 탐지도 가능합니다.

[그림 20] hwp 악성파일에 대한 대응 정책 화면

 

○ 탐지된 hwp 악성문서의 경우 선택적 위협 대응 정책을 통해 실행 전 '파일 삭제' 등 조치를 수행하고, 유입과정 절차를 조사할 수 있습니다.

 

[그림 21] hwp 악성문서 실행 후 이상행위 탐지 화면

 

○ Genian EDR은 제품은 알려지지 않은 악성 hwp 문서의 위협활동을 조기에 탐지할 수 있으며, 실행 단말을 식별하여 악성문서의 유입 과정 조사하는데 활용이 가능합니다.

 

 

6.  침해 지표 (Indicator of Compromise)

● MD5
d5dd153ac17a79723f33fb45849a533b
844fb1dddeb432d9c950965fb78d1c52
31909632fb7f1a53507f65a1ae96a519
234158822419e64d8d3c177d3169bc3e
f25ae3627b4ec411882d56732e0fa433
dfa3a2ec607144b803c66816e1a996fa
b9116a07ec93f3f14e805851e24b0372 
52d073c181531c7f0b8b3aa764c6551d
4c3039e229aaa4ffb5efec9f9764f077
16074a3f76b7860a180e0ec54dd19ed6
c5685de9e05657ee5ae4c3b29fc08dd4
844fb1dddeb432d9c950965fb78d1c52
366dc66c1f46690de881c17290986741
36c3af92792affb8a2f515526597d216
309a3b7b130fdec0f383d7a6ea8f6c90
ef8947d291107256cb5883ac3bc163d0
5654c2280c193fc7dc0e6919bd240435
21ed2cad9dc18e453da40bc3ba5dd756
bec918dd7c6f9d09f6cb4caeeee6fe03
391fa4e57f91e3422ef5d32523d4dfc7
2af5efc90cecfb76935549a3f4d95613
1549ede872ca017eea0f053ec08c0f34

● C2
blushaak.co[.]kr
cicctv.co[.]kr
dh00386[.]com
jinsungm[.]com
nzzstore[.]site
rem.zoom-meeting.kro[.]kr
drequsm.secbesm.kro[.]kr
mem.mcgnu.kro[.]kr
communiquer[.]be
asanpolicy[.]lol
temuco[.]xyz
cafe24[.]pro
sig[.]quest
plutg[.]shop
dorray[.]site
osihi[.]store
nzzstore[.]site
handhygieneforhealth[.]org
petssecondchance.larcity[.]dev
210.92.18[.]162
158.247.223[.]235
152.32.243[.]136