김수키 조직, 사이버 안전국 암호화폐 민원안내로 사칭해 APT 공격 수행

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다.

금일 오전 경찰청 사이버 안전국을 사칭한 스피어 피싱(Spear Phishing) 공격이 포착되었고, 이번 APT 공격도 김수키(Kimsuky) 조직이 연루된 것으로 분석됐습니다.

ESRC는 이 공격을 조사하는 과정중에 굉장히 흥미로운 점을 확인할 수 있었습니다.

[그림 1] 사이버 안전국 사칭한 해킹 이메일 화면

이 APT 공격이 금일 공개한 '[긴급] 김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생' 블로그 포스팅의 연장선에 있다는 것이 확인되었기 때문입니다.

2018-02-12	오퍼레이션 김수키(Kimsuky)의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형
2018-05-28	판문점 선언 관련 내용의 문서로 수행된 '작전명 원제로(Onezero)' APT 공격 분석
2018-11-27	안보·외교·통일 관련 분야를 겨냥한 APT 공격, '작전명 블랙 리무진' 주의
2019-01-03	2019년 북한 신년사 평가로 위장한 오퍼레이션 엔케이 뉴이어 APT 등장
2019-01-07	통일부 기자단을 상대로 한 APT공격, '오퍼레이션 코브라 베놈(Cobra Venom)' 주의
2019-02-21	2차 북미정상회담 좌담회 초청으로 수행된 최신 APT 공격, 작전명 라운드 테이블
2019-04-03	김수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침묵 작전
2019-04-17	한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개
2019-05-13	암호화된 APT 공격, Kimsuky 조직의 '스모크 스크린' PART 2
2019-05-20	김수키 조직, 한국을 겨냥한 '페이크 스트라이커' APT 작전 개시
2019-05-28	김수키 조직, 한국 암호화폐 거래소 이벤트 사칭 APT 공격 발생

공격에 사용된 이메일을 살펴보면, 마치 실제 사이버 안전국의 민원 안내 메일처럼 정교하게 조작되어 있습니다.

이메일 본문에는 암호화폐 해킹 피해 문의에 대한 내용과 답변처럼 꾸며져 있고, 경찰서에서 컴퓨터 검사 프로그램을 보내는 것처럼 구성되어 있습니다.

[그림 2] 이메일 하단 부분 내용

첨부된 압축 파일명은 '사이버안전국.egg' 이며, 압축 해제 후에 실행을 유도하고 있습니다. 압축 내부에는 '사이버안전국.exe' 악성 파일이 포함되어 있습니다.

[그림 3] '사이버안전국.exe' 파일이 포함된 압축 파일 내부 화면

'사이버안전국.exe' 파일은 DATA 리소스의 141 영역에 인코딩된 데이터를 이용하며, VMProtect 프로그램으로 패킹되어 있습니다.

악성 파일은 다음 경로에 감염자 정보 등을 수집해 저장하고, 공격자가 지정한 특정 한메일 계정으로 은밀하게 정보를 전송합니다.

- C:\Users\[계정명]\AppData\Roaming\Scheduler

[그림 4] 감염시 생성되는 폴더 화면

ESRC에서는 암호화폐 거래와 관련된 내용의 사이버 공격이 증가함에 주목하고 있습니다.

특히, 특정 정부의 후원과 지시를 받아 활동하는 위협 조직들이 사이버 첩보활동 뿐만 아니라, 외화벌이 목적으로 추정되는 공격까지 가담하고 있어 각별한 주의가 필요한 시점입니다.

이스트 시큐리티 알약 제품에서는 해당 악성 파일들에 대해 'Trojan.Agent.Qkkbal' 등으로 탐지 및 치료를 하고 있으며, 추후 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 위협 인텔리전스 리포트와 별도의 침해지표(IoC) 등을 제공할 예정입니다.