◈ 주요 요약 (Executive Summary)
- Konni APT, 국가인권위원회 및 경찰청 사칭의 허위 이메일로 접근 시도
- 수신자가 인권 침해 및 해킹 사고 연루된 것처럼 불안 심리 자극
- 답변 유도형 스피어 피싱 공격 기법을 활용해 악성파일 설치 유도
- LNK 바로가기 유형의 악성파일 및 AutoIT 스크립트 공격 지속
- 비실행파일형 위협 증대에 따른 EDR, MDR 기반 탐지 필요성 증대
1. 개요 (Overview)
○ 2025년 01월 22일, 『국가인권위원회 사칭 자료 제출 등 요구하는 이메일 주의』 제목의 보도자료가 배포됐습니다.
[그림 1] 국가인권위원회 주의안내 보도자료 화면 (출처 : 인권위)
○ 더불어 03월 10일 RFA 자유아시아방송은 『북, 한국 경찰청 수사관 사칭해 탈북민 해킹 시도』 제하의 기사를 통해 경찰청 수사관 사칭 해킹 공격에 대한 실제 사례를 소개한 바 있습니다.
[그림 2] 한국 경찰청 수사관 사칭 보도자료 화면 (출처 : RFA)
○ 최근까지 한국 정부기관을 사칭한 다양한 스피어 피싱(Spear Phishing) 사례가 보고됐습니다. 이런 공격은 주로 이메일 수신자로 하여금 불안 심리와 호기심을 자극하여, 공격 성공률을 높입니다.
○ 공격 초기부터 악성파일 첨부나 URL 링크 삽입도 하지만, 반대로 특별한 위협요소 없이 단순 텍스트 내용만으로 신뢰도를 높이기도 합니다. 그렇게 어느정도 소통 후 EXE 확장자나 문서유형 뿐만 아니라, 비실행형 악성코드를 보내는 대화형 공격 전술도 구사합니다. 한국에서 관찰되는 APT(지능형지속위협) 공격은 기술과 전략 측면에서 점차 지능화되고 있습니다. 따라서, 실행형 악성파일 타입과 함께 표적공격 비중이 높아지는, 비실행형 악성코드를 보다 능동적으로 헌팅(Threat Hunting)해야 합니다.
○ 이를 위해 각 기업과 기관의 보안 관리자는 행위기반 이상행위 탐지대응 시스템인 EDR(Endpoint Detection and Response) 서비스나 클라우드 기반 관리형 탐지대응을 위한 MDR(Managed Detection and Response) 서비스를 도입해 보안 운영 부담을 최소화할 수 있습니다.
○ 본 보고서는 한국의 정부기관 사칭으로 수행된 실제 공격 케이스를 분석하여, 위협 인텔리전스(TI) 기반 폭 넓은 인사이트 제공에 주 목적이 있습니다.
2. 배경 (Background)
○ 앞선 개요에서 언급된 위협내용은 실제 2025년 01월부터 03월까지 한국에서 꾸준히 관측됐습니다. 'Genians Security Center (GSC)'는 각 공격에 활용된 다수의 악성파일을 채증해 심층 조사를 진행했습니다.
○ 먼저 「[공지] 인권침해 행위에 대한 경고 및 시정 요청」 제목의 스피어 피싱(Spear Phishing)은 북한인권분야 및 대북 NGO 단체소속의 활동가를 겨냥해 대대적 공격이 수행된 것으로 밝혀졌습니다.
○ 해당 이메일은 마치 국가인권위원회 공식 도메인<humanrights.go[.]kr>에서 발송된 것처럼 보이지만, 분석결과 발신지 주소를 정교하게 조작한 것으로 드러났습니다. 위협 행위자(Threat Actor)는 PHPMailer를 명령제어(C2) 서버에 구축해 다른 사람의 이메일 주소로 발신자 정보를 조작했습니다.
[그림 3] 국가인권위원회 공지 사칭 이메일 화면
○ 조작된 이메일 주소는 답변이 불가능하기 때문에, 발신전용 전략을 구사합니다. 그리고 본문에 별도 이메일 주소를 포함합니다. 이때 사용된 <humanrights.co[.]ke> 주소가 실제 위협 행위자가 사용하는 계정이고, 하단에 악성파일 다운로드 링크를 삽입했습니다.
○ 다음으로 경찰청 사이버범죄수사과 수사관 명의를 도용한 스피어 피싱 사례 입니다. 마치 수사 중인 해킹 사건에 수신자가 침해됐다는 내용처럼 수신자를 현혹합니다.
○ 경찰청 수사관을 사칭한 경우는 인권위 사례와 다르게 악성파일이나 링크를 바로 전달하지 않았습니다. 먼저 수신자의 불안심리를 자극해 회신을 유도하고, 어느정도 소통 후 본색을 드러내는 답변 유도형 공격 전략을 구사했습니다.
[그림 4] 경찰청 수사관 사칭 이메일 화면
○ 국가인권위원회 사칭 때와는 다르게, 발신지 주소를 경찰청 공식 도메인으로 조작하지 않았습니다. 그러나 인권위 사칭 때 본문에 기재된 이메일 주소와 같은 유형이 사용됐습니다. 경찰청 수사관을 사칭한 발신 이메일의 도메인은 <police.co[.]ke> 주소로 인권위 사칭 때인 <humanrights.co[.]ke> 주소와 비슷한 점을 볼 수 있습니다.
○ GSC 위협 분석가는 두 케이스 외에 여러 테마를 이용한 유사 공격이 지속되고 있음을 포착했으며, 공격자는 이용자 단말에 여러 악성파일을 설치해 이용자 자료탈취 및 추가 해킹 시도 활동을 확인했습니다. 그리고 일명 '코니(Konni) APT 캠페인'의 연장선으로 결론 내렸습니다.
○ 본 보고서는 한국 정부기관을 사칭한 실제 스피어 피싱 공격 사례를 통해 기업과 기관이 유사한 공격에 노출되지 않도록 미연에 대비하기 위한 인사이트 제공을 목적으로 합니다.
3. 스피어 피싱 분석 (Spear Phishing Analysis)
3-1. [실제 사례 A] 국가인권위원회 사칭
○ 앞에서 설명한 바와 같이, 국가인권위원회를 사칭한 공격은 발신지 주소가 공식 도메인과 동일합니다. 보통 해킹메일 예방 보안교육 때 발신지 주소의 공식여부를 꼼꼼히 살피도록 강조하기도 합니다. 그런데 이번처럼 정교하게 조작된 경우 단순히 메일 주소만 100% 신뢰했다가는 예기치 못한 위협에 노출될 수 있습니다.
○ 그러므로 발신지 주소가 공식 서비스와 정확히 일치해도 무조건 안전하다고 믿는 것은 경계해야 합니다. 물론, 발신지 주소가 공식 서비스와 다르다면 그건 당연히 의심부터 해야 하고요.
○ 아울러, 위협 행위자가 실제 특정 소속의 인물을 해킹해 그의 신원정보를 탈취 후 무단 도용해 공격하는 실사례도 있습니다. 따라서 온라인 정보는 항상 의심하고 체크하는 보안 습관을 지니고, 첨부파일이나 URL 링크가 있는 경우 번거롭더라도 발신자에게 발송여부 확인 후 열람하는 것이 안전유지에 도움이 됩니다.
[그림 5] 이메일 발신 위치 정보
○ mailsender.php 파일이 존재했던 URL 경로는 아래와 같습니다.
- mail.sweetsonian[.]com/wp-admin/js/widgets/gravity_mod/
- mail_mailsender.php
○ 그리고 'sweetsonian[.]com' 소스 경로는 다음과 같습니다.
- sarahmariegerrity[.]com:/public_html/sweetsonian
○ 이메일 하단의 [전체 첨부파일 검사 및 저장하기] 영역에 URL 링크가 존재하고, 워드프레스 기반의 'playdxb[.]com' C2 서버에서 '인권침해 행위에 대한 경고 및 시정 요청.zip' 압축 파일이 연결됩니다.
[그림 6] 이메일에 포함된 첨부파일 링크 화면
○ 그리고 문의 이메일 주소는 <humanrights.co[.]ke> 도메인이 사용됐습니다.
3-2. [실제 사례 B] 경찰청 수사관 사칭
○ 두 번째 사례인 경찰청 수사관 사칭 건은 처음에 다음과 같이 수신자의 이메일 계정 정보가 침해당한 사실을 통보하고, 추가 피해 방지를 위해 필요한 보안 조치 사항 안내처럼 관심을 끕니다.
|
우리과에서 진행하고 있는 해킹 사건에서 귀하의 메일 계정 정보가 침해당한 사실이 확인되어 추가 피해 방지를 위해 피싱 메일 수신 시 보안 조치 사항에 대해 안내 드립니다. 만약 메일 수신하시고 ID, PW 등 정보를 입력하셨다면 유출되었을 가능성이 높으니 이메일 외에 사용하고 계신 계정의 패스워드 설정을 반드시 변경하시길 바랍니다. 혹시나 '네이버', '카카오', '다음' 을 사칭해 '아이디 입력' 및 '비밀번호 변경'을 요구하는 메일을 수신한 것 자체가 메일 계정이 노출되어 피해를 입은 것이니,삭제하지 마시고 이 주소로 연락 부탁드립니다. 번거로우시겠지만 협조를 해주신다면 진행하고 있는 수사에 많은 도움이 되니 메일 회신 부탁드립니다. 현재 귀하의 메일 계정 침해 사실에 대한 설명서를 작성 중이오니, 메일 회신 주시면 보완하여 보내드리겠습니다. 확인해보시고 협조 부탁드립니다. 감사합니다~ |
[표 1] 경찰청 수사관 사칭 첫 번째 이메일 본문 내용
○ 첫 번째 메일에서 협조 요청 및 회신을 유도하고 있습니다. 만약, 수신자가 해당 내용에 반응을 보이면, 본격적인 공격을 수행하게 됩니다.
[그림 7] 경찰청 사칭 악성파일 유포 화면
○ 마치 경찰청 공식 URL 주소처럼 보이게 만든 첨부파일 링크에 악성 압축 파일을 연결했습니다. 이때 사용한 C2 도메인은 'oldfoxcompany[.]com' 이며, 사례 A와 동일하게 워드프레스 기반 웹 사이트 입니다. 해킹 진단 tool 파일로 위장한 경우도 있습니다.
○ 그리고 C2 서버에는 '침해 사고 및 대응 방법 안내(2025.02.21).zip' 압축 파일이 연결됩니다. 특히, 경찰청 사칭 사례의 경우 여러개의 C2 주소가 관찰됐습니다.
○ 해당 메일이 발송된 곳은 <police.co[.]ke> 주소이지만, 실제 출발지는 'zohomail[.]com' 경로라는 것을 알 수 있습니다.
!['zohomail[.]com' 실제 발신 서비스 화면](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/08-Mar-27-2025-06-53-22-3855-AM.png)
[그림 8] 'zohomail[.]com' 실제 발신 서비스 화면
○ Zoho Mail 서비스는 인도에 본사가 설립된 무료 이메일 서비스이며, 과거 북한발 위협 활동에서 다수 보고된 바 있습니다. 해당 메일에 가입하면, 자신이 보유한 도메인을 직접 설정해 메일 계정을 만들 수 있습니다.
○ GSC는 인권위와 경찰청 사칭한 각 도메인 <humanrights.co[.]ke>, <police.co[.]ke> 주소 모두 Zoho Mail 서비스를 통해 등록된 것을 확인했습니다. 이는 동일한 위협 행위자가 본 APT 캠페인 배후에 있다는 근거가 됩니다.
[그림 9] 인도 Zoho Mail 도메인 설정 및 등록 화면
○ 참고로 지난 2016년 '[단독] 北, IT인력 1500명 해외 보내 年4000만달러 벌어' 제목의 동아일보 뉴스를 보면, 북한은 과거부터 외화벌이 인력으로 인도에 소프트웨어 개발자를 파견해 고수익을 낸 것으로 알려져 있으며, 이후에도 IT 인력을 꾸준히 양성하고 송출했습니다.
4. 악성파일 분석 (Malware Analysis)
4-1. 사건 관련 목격자의 진술서.pdf.lnk
○ 국가인권위원회를 사칭해 유포된 파일은 '인권침해 행위에 대한 경고 및 시정 요청.zip' 이름의 압축된 파일입니다. ZIP 내부에는 2개의 파일이 포함돼 있으며, 그 중 하나가 LNK 바로가기 유형의 악성코드입니다.
| No | ZIP | Name | Size |
| 1 | 인권침해 행위에 대한 경고 및 시정 요청.zip | 사건 관련 목격자의 진술서.pdf.lnk | 824,819 |
| 2 | 인권침해 및 차별행위 조사구제 규칙.pdf | 305,846 |
[표 2] ZIP 압축 파일 정보
[그림 10] PDF 문서로 위장한 악성파일과 아이콘 비교 화면
○ '사건 관련 목격자의 진술서.pdf.lnk' 악성파일은 2중 확장자를 가지고 있어, 바로가기 특성상 PDF 파일로 착각할 수 있습니다. 하지만, 아이콘 좌측 하단에 작은 화살표가 포함된 것을 통해 구별이 가능합니다.
○ LNK 바로가기 파일 내부구조를 확인하면 기본적으로 PowerShell 명령을 통해, 'RrEvdpI.exe' / (curl.exe), 'RrEvdpI1.exe' / (schtasks.exe) 파일을 이용합니다.
○ 그리고 C2 'nailemkosmetik[.]de' 서버에서 'ABBEmCR.exe' / (AutoIt3.exe), 'jRUkipA.cdr' 파일 다운로드와 작업 스케줄러 등록을 수행합니다. 작업 스케줄러명은 'jRUkipA'이며, 처음 트리거된 후 매 1분마다 '%Public%\Document' 경로 조건에서 'ABBEmCR.exe' 파일이 'jRUkipA.cdr' 스크립트를 무기한 반복 호출합니다.
[그림 11] LNK 내부 명령어 화면
○ 결국 AutoIt 응용 프로그램을 통해 컴파일된 AutoIT 스크립트 'jRUkipA.cdr'가 호출되는 구조입니다. 스크립트 앞뒤 코드에 임의의 문자열을 추가해 해석을 방해하지만, 'AU3!EA06' 고유 헤더를 통해 구별이 가능합니다.
[그림 12] 컴파일된 AutoIT 스크립트 헤더 부분
○ 스크립트 디컴파일 후 내부코드를 확인해 보면, 'Lilith RAT Open Source' 코드가 악용된 것을 확인할 수 있습니다. 해당 내용은 2023년 7월 31일 지니언스 위협 분석 보고서인 'AutoIt 활용 방어 회피 전술의 코니 APT 캠페인 분석' 보고서에서 상세히 언급된 바 있습니다.
- #Region
- #AutoIt3Wrapper_Outfile_type=a3x
- #AutoIt3Wrapper_Outfile=Lilith.a3x
- #AutoIt3Wrapper_AU3Check_Stop_OnWarning=y
- Global $server_ip =
- "62.113.118[.]157"
- Global $server_port =
- 80
- Global $buffer_size =
- 1024
- Global $mutexname =
- "Global\RT3AN7C9QS-7UYE-9K8G-A8F1-YY8IT3CNMEQP"
○ '62.113.118[.]157' C2는 러시아 소재의 Windows 서버로 'AI Spera'의 'Criminal IP' 조회를 통해 오픈된 포트를 파악할 수 있습니다.
[그림 13] Criminal IP 서비스로 C2 조회 결과
○ 크리미널 아이피 조회 결과 TCP 22 OpenSSH 포트와 함께 TCP 3389 원격 데스크 톱 서비스 포트가 활성화된 것을 알 수 있습니다. 위협 행위자는 러시아에 있지 않더라도, 원격접속을 통해 C2 인프라를 편리하게 관리할 수 있습니다. 그리고 꼭 RDP가 아니더라도 별도의 Backdoor 설치를 통해 언제든지 자유롭게 접근할 수도 있습니다.
○ 참고로 '62.113.118[.]157', '185.231.154[.]22', '93.183.93[.]185', '94.103.87[.]212' C2는 2024년부터 AutoIt 악성 스크립트를 이용한 통신 주소로 계속 관찰되고 있는 상황입니다. 따라서, 해당 C2 주소는 탐지 및 차단 정책에 반영하고 비정상 접속 위협 모니터링 대상에 포함할 필요가 있습니다.
○ 더불어, 뮤텍스(Mutex) 값을 비교해 보면, 조금씩 변화가 있는 점을 확인할 수 있습니다.
- 2024년도 뮤텍스 값
- "Global\RT3AN7C9QS-7UYE-9K6G-A8F1-HY8IT3CNMEQP"
- 2025년도 뮤텍스 값
- "Global\RT3AN7C9QS-7UYE-9K8G-A8F1-YY8IT3CNMEQP"
4-2. 침해 사고 및 대응 방법 안내.hwp.lnk
○ 다음으로 경찰청 사이버범죄 수사과 수사관을 사칭해 유포된 파일은 '침해 사고 및 대응 방법 안내(2025.02.21).zip' 이름의 압축된 파일로 유포됐습니다. ZIP 내부에는 2개의 파일이 포함돼 있으며, 그 중 하나가 LNK 바로가기 유형의 악성코드입니다.
| No | ZIP | Name | Size |
| 1 | 침해 사고 및 대응 방법 안내(2025.02.21).zip | 침해 사고 및 대응 방법 안내.hwp.lnk | 243,793 |
| 2 | 정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률)(제20260호).pdf | 89,347 |
[표 3] ZIP 압축 파일 정보
[그림 14] HWP 문서로 위장한 LNK 악성파일 화면
○ '침해 사고 및 대응 방법 안내.hwp.lnk' 악성파일 역시 2중 확장자를 가지고 있어, 바로가기 특성상 HWP 파일로 착각할 수 있습니다. 하지만, 아이콘 좌측 하단에 작은 화살표가 포함된 것을 통해 구별이 가능합니다.
○ LNK 바로가기 파일 내부구조를 확인하면 '사건 관련 목격자의 진술서.pdf.lnk' 사례에서 기술한 것과 동일한 패턴을 가지고 있습니다. 다만 C2 주소가 다르게 설정돼 있습니다.
○'nailemkosmetik[.]de'에서 'topledgrowlights.malapascuaisland[.]com' 도메인 주소로 변경됐고, 'OloqbTu.cdr' 이름의 컴파일된 AutoIt 스크립트 파일이 사용됩니다.
○ AutoIt 스크립트의 경우 변종에 따라 복수의 형태가 확인됐는데, C2 주소는 '62.113.118[.]157' 주소와 '192.109.119[.]113' 2개가 식별됐습니다. 특히, 러시아 소재 IP에서 네덜란드 소재 IP가 추가됐습니다.
4-3. 악성코드 진단(멀웨어 제로) - 설치 파일.msi
○ 경찰청 수사관 사칭 사례의 경우, 공격 대상에 따라 다양한 악성파일이 쓰인 점이 특징입니다.
○ GSC는 공격에 쓰인 '침해 사고 및 대응 방법 안내.hwp.lnk' 바로가기 유형 외에도 '진단툴 실행하기.bat' 배치파일과 '악성코드 진단(멀웨어 제로) - 설치 파일.msi' Windows Installer 유형의 악성파일 사용 이력도 발견했습니다.
- 악성코드 진단(멀웨어 제로).zip
- 진단툴 실행하기.bat
- 악성코드 진단(멀웨어 제로) - 설치 파일.zip
- 악성코드 진단(멀웨어 제로) - 설치 파일.msi
○ 참고로 '진단툴 실행하기.bat' 배치파일의 경우 앞서 기술한 LNK 바로가기 악성코드의 PowerShell 명령을 CMD 명령 방식으로 구현한 것으로 기능적으로 거의 동일합니다. 'topledgrowlights.malapascuaisland[.]com' 도메인에서 컴파일된 AutoIt 스크립트 파일을 설치해 C2로 통신합니다.
○ 다음으로 '악성코드 진단(멀웨어 제로) - 설치 파일.msi' 이름의 Windows Installer 패키지 유형은 'EMCO MSI Package Builder 11.2.6.2932' 버전으로 제작 됐습니다.
○ 위협 행위자는 네이버 카페 [바이러스 제로] 보안 커뮤니티가 배포하는 'Malware Zero' 프로그램을 무단 악용했습니다. '멀웨어 제로'는 비설치 배치파일 스크립트 형식의 악성코드 제거 보조 도구로 코드 변형 및 상업적 이용을 금지하고 있습니다.
○ 그러나 경찰청 수사관을 사칭한 위협 행위자는 해당 배치파일 기반 스크립트 도구를 MSI 패키지로 만들어 실제 공격에 사용합니다. 아래는 진단 도구 공유 명목으로 유포에 사용된 화면입니다. 마치 경찰청 첨부파일 링크주소 처럼 보이지만, 실제로는 'oldfoxcompany[.]com' C2 주소로 연결됩니다.
○ 유사 공격의 경우 'notkittenaround.digmoo[.]com', 'priesttools[.]com' 도메인이 쓰이기도 했습니다.
[그림 15] 해킹 진단 도구로 위장 유포된 악성파일 유포 이메일 화면
○ '악성코드 진단(멀웨어 제로) - 설치 파일.msi' 파일의 내부 명령 구조를 확인해 보면, RunAction1 명령을 통해 'install.bat' 배치파일이 먼저 실행되는 것을 알 수 있습니다.
○ 참고로 실제 공식 배포되는 정상 도구(MalwareZero.zip)에는 해당 배치파일이 존재하지 않습니다.
[그림 16] MSI 내부 명령 및 파일 구성
○ 'install.bat' 명령어는 다음과 같이 구성되어 있어, 'AutoIt3.exe' 파일과 컴파일된 AutoIt 스크립트 'IoKlTr.au3' 파일을 'IoKlTr' 이름으로 작업 스케줄러에 등록해 1분마다 실행하게 만듭니다. 그리고 '62.113.118[.]157' 서버와 통신을 수행합니다.
[그림 17] 'install.bat' 파일 명령어
4-4. Screenshot 2025-03-04 113646.jpg.lnk
○ 상기 국가인권위원회 및 경찰청 사칭 사례 외에도 한국내 대북분야 전문가를 겨냥한 공격 사례도 여럿 발견됐습니다. 그 중 마치 특정인의 이메일 해킹 상황을 알려주는 것처럼 조작한 설명과 함께 스크린 샷 이미지 파일을 전달해 주는 것처럼 위장해 ZIP 압축 파일을 전달했습니다.
○ ZIP 내부에는 악성 LNK 바로가기 파일이 포함되어 있으며, 앞선 사례와 동일하게 C2로 통신해 컴파일된 AutoIt 스크립트를 설치합니다. 이때 사용된 C2 도메인은 'beldy[.]ma' 입니다.
[그림 18] 다른 주제의 해킹 이메일 화면
○ 그리고 '남북하나재단_현수막_3300X600_시안.zip' 파일을 유포한 사례도 확인되는데, 스크린 샷 JPG 이미지와 PDF 시안 위장 모두 공통적으로 'aabbe[.]shop' 도메인이 C2 서버로 사용됐습니다.
5. 위협 귀속 (Threat Attribution)
5-1. 위협 출처와 배후 조사 과정
○ 위협 귀속은 사이버 공격의 출처를 식별하고 특정 공격자가 누구인지, 또는 어떤 그룹이나 국가와 연결될 수 있는지를 파악하는 과정을 의미합니다. 그리고 공격의 근본 원인을 이해하고, 향후 공격을 방지하기 위한 전략을 세우는 데 필수적입니다. 이 과정은 다음과 같은 여러 단계를 포함합니다.
- 데이터 수집
- 공격에 쓰인 언어와 고유 인프라 자료, 악성코드 샘플, 공개출처정보(OSINT) 등 다양한 지표(IoC, IoA)를 채증합니다.
- 행위 분석
- 수집된 데이터를 분석하여 공격자의 행동 패턴, 사용된 도구 및 기술을 파악합니다.
- 특정 공격자가 사용하는 전술, 기법 및 절차(TTPs)를 이해할 수 있습니다.
- 디지털 프로파일링
- 이미 알려진 APT 그룹이나 공격 패턴(지표) 등을 비교하여 유사성을 찾습니다.
- 특정 그룹에 대한 연결 고리를 찾을 수 있습니다.
- 신뢰성 평가
- 수집된 정보와 분석 결과의 신뢰성을 평가하여, 특정 공격자가 실제로 해당 공격을 수행했는지에 대한 확신을 높입니다.
- 보고 및 대응
- 최종적으로 분석 결과를 바탕으로 보고서를 작성하고, 필요한 경우 방어 조치를 취합니다.
5-2. 사용 언어 및 지역 분석
○ 공격자가 사용하는 언어의 문법, 어휘, 구문 구조를 분석하여 특정 지역이나 문화적 배경을 추정할 수 있습니다. 특정 기술적 용어, 속어, 또는 줄임말의 사용 빈도와 맥락을 분석하여 특정 그룹이나 커뮤니티와의 연관성을 찾습니다.
○ 공격자가 활동한 온라인 커뮤니티나 소셜 미디어에서의 언어 사용을 분석하여 더 많은 정보를 얻습니다. 이러한 언어적 특성 분석은 공격자의 신원을 밝히거나 그들이 소속된 그룹을 추정하는 데 유용한 방법이 될 수 있습니다.
[그림 19] 북한어 흔적
○ 경찰청 수사관을 사칭해 사용된 스피어 피싱 메일에는 북한어가 다수 식별됩니다. 그 중 '인차'는 '곧' 또는 '즉시'라는 뜻으로 사용됩니다. 주로 어떤 일이 곧 일어날 것임을 나타내는 표현입니다. 이어서 "스팸신고가 제기되었습니다"라는 문맥에서 북한말 '제기'는 '신고'나 '제출'의 의미로 사용됩니다. 즉, 어떤 문제나 사안이 공식적으로 보고되었음을 나타냅니다. 이 경우 '제기'는 특정한 문제를 공식적으로 제안하거나 알리는 행위를 의미합니다.
○ '태공'은 일을 게을리한다는 '태업'을 뜻하는 북한말입니다. '조선말 대사전'에 따르면 '맡은 일을 일부러 수행하지 않거나 열의를 내지 않고 태만을 부리는 것'이라고 나와 있습니다. 위협 행위자들은 모국어의 노출을 최소화하기 위해 나름의 학습과 주의를 기울이지만, 평소 자주 쓰는 언어적 습관이 그대로 표출되기도 합니다. 이는 위협 귀속 연구에 중요한 단서가 될 수 있습니다.
5-3. 위협 인프라 유사도
○ 'AutoIt 활용 방어 회피 전술의 코니 APT 캠페인 분석' 보고서 내용처럼 위협 인프라 유사도가 높다는 점을 확인할 수 있습니다.
[그림 20] 코니 캠페인 연관 관계도
6. 결론 및 대응 (Conclusion)
○ 앞선 사례에서 본 것처럼 Windows Installer 패키지 형식(MSI)의 공격은 패키지 내부에 삽입된 AutoIt 스크립트를 몰래 실행하는데 목적이 있습니다. 한국 보안 커뮤니티에서 배포 중인 실제 프로그램을 무단 악용해 공격의 편의성을 높이기도 했습니다.
○ 패키지 형식은 다수의 정상파일 중에 악성코드를 교묘히 은닉해 두었기 때문에 위협 요소를 구별하기 어렵습니다. 이러한 유형의 위협을 식별하기 위해서는 단말에서 발생하는 파일 이벤트를 조사하고, 그에 따른 실행 흐름을 분석해야 합니다. Genian EDR 제품은 이러한 공격의 흐름을 편리하게 조사할 수 있습니다.
[그림 21] Genian EDR을 통해 파일 이벤트 조사
○ Genian EDR 관리자는 사내 단말에서 'AutoIt3.exe' 실행 여부를 조회하여, 본 보고서와 유사한 위협 상황을 조회하거나 모니터링할 수 있습니다. 물론, 정상적으로 오토잇 스크립트를 사용하는 이용자가 있을 수 있습니다. 따라서, 업무적으로 사용하는지 사실 여부를 파악하고, 실제 사용된 스크립트 명령을 통해 Risk 관리를 수행할 수 있습니다.
○ 또한, 오토잇을 통해 아웃바운드로 통신을 시도하는 경우 보안성 검토를 면밀히 수행해야 합니다.
[그림 22] 오토잇 악용 Genian EDR 위협 탐지 화면
○ 최근 Konni 캠페인은 러시아, 네덜란드 등 해외의 C2 서버와 통신을 시도하고 있습니다. 이러한 특징을 잘 파악하고 기억해 두면, 유사한 위협을 헌팅하는데 활용할 수 있습니다.
○ 특히, 본 보고서에서 제공하는 침해지표(IoC) 중 C2 서버로 악용된 IP를 EDR 탐지 정책에 추가해서 모니터링도 가능합니다.
○ EDR 관리자는 [정책]에서 좌측의 [사용자정의 IOC관리] 하위 메뉴의 [Malicious IP] 기능을 선택하고, [+]를 통해 악성 IP 주소를 추가할 수 있습니다. 실제로 해당 C2 IP 주소를 등록할 경우 아래와 같이 위협 탐지가 가능합니다.
[그림 23] Genian EDR 악성 IP 탐지 화면
○ 위협 행위자들은 단말 침투를 위해 다양한 시도를 수행하고 있습니다. 나름의 공격 효과가 있다고 판단하면, 기존에 사용했던 방법을 재활용하기도 합니다. 오토잇 스크립트를 이용한 공격 방법도 꾸준히 재활용하고 있는데, 그 만큼 단말 침투에 효과적이라고 예측할 수 있습니다. 패턴이나 시그니처 기반의 보안시스템으로는 탐지에 어려움이 발생할 수 있습니다.
○ 따라서, 오토잇 위협처럼 유입부터 가시성을 확보하기 위한 다양한 노력이 필요하고, 단말에서 발생하는 모든 이벤트를 통합해 중앙에서 효율적으로 관리할 필요가 있습니다.
○ EDR은 알려진 위협뿐만 아니라, 복잡성이 추가된 새로운 공격 기법까지 이상행위탐지 기술 및 악성코드 조사를 통해 빠르게 탐색이 가능합니다. 스크립트가 비정상적인 행동을 보일 경우에도 탐지될 수 있으며, 악성 IP주소로 의심스러운 네트워크 활동을 일으킬 경우 경고를 발생시킬 수 있습니다.
7. 침해 지표 (Indicator of Compromise)
- MD5
7449b3528dffeb2babfc113308e47bb7
1827287811ef97153d0ea850673ecec1
a7f908d3f49b4f53e7f658071aff5410
b9d52717f3f9e32258bd2e8260d27ef1
b9ef6b03d44891ec8766643514fe3294
b67b3863f1182d8abdcf54fd0938cea8
ec6842538f6166462d498279b8a462b3
f6800836d55d049fe79e3d47d54e1119
3a9c98fb76aaa4f440c059334b585585
6e1ce18cb9065bf0ea91fc5c2817e941
7c22515a47e94581cc7b62b88a205808
8efee9143c9bc4dc3cd8cf2ef5a87656
29b0a6b9608540b9446c0fb14a36f0b0
99ee7852b8041a540fdb74b3784d0409
- C2
62.113.118[.]157
192.109.119[.]113
185.231.154[.]22
93.183.93[.]185
94.103.87[.]212
humanrights.co[.]ke
police.co[.]ke
sweetsonian[.]com
sarahmariegerrity[.]com
nationalinterestparty[.]com
xcellentrenovations[.]com
playdxb[.]com
oldfoxcompany[.]com
notkittenaround.digmoo[.]com
priesttools[.]com
aabbe[.]shop
techtorev[.]com
katekasoft[.]com
osbrankoradicevickm[.]com
meditationsecretsforwomen[.]com
nailemkosmetik[.]de
topledgrowlights.malapascuaisland[.]com
beldy[.]ma
