위협분석보고서-genians

HWP 문서 내부에 악성 OLE 삽입 공격 FlowerPower APT 캠페인 Github C2 사용

Written by Genians | Nov 30, 2023 12:00:00 AM

◈ 주요 요약 (Executive Summary)

  • 외신 뉴스 채널 인터뷰 등으로 현혹 접근해, 악성 OLE 포함 HWP 문서 전달 방식 사용
  • FlowerPower APT 공격 도구 시리즈를 활용한 암호화된 PowerShell 명령어 실행
  • 개발 버전 관리와 협업을 위한 코드 호스팅 플랫폼 깃허브를 위협 명령 거점으로 설정 
  • Genian EDR 솔루션으로 위협 가시성 확보 및 조기 탐지를 통한 피해 최소화 효과


1. 개요 (Overview)

1.1 배경 (Background)

○ 지니언스 시큐리티 센터(이하 GSC)는 10월 초 외신 뉴스 채널의 인터뷰 요청으로 위장된 새로운 한국 맞춤형 지능형지속위협(APT) 공격 징후를 포착했습니다. 주로 한국에서 쓰이는 HWP 한글 문서에 악의적 '오브젝트 연결 삽입'(OLE)을 활용한 공격입니다. OLE와 관련된 내용은 한컴사의 도움말을 참고할 수 있습니다.1

○ 상세 분석을 진행하던 과정에, 안랩 ASEC 역시 '악성 OLE 개체가 삽입된 한글 문서 주의' 제목의 블로그 포스팅을 등록한 바 있습니다. 2 GSC도 해당 위협 사례를 파악해 면밀히 조사중이며, 위협 배후가 사용한 공격 툴이 'FlowerPower' 시리즈의 새로운 형태임을 확인했습니다. 더불어 APT37 그룹은 보안 취약점을 접목한 HWP 공격도 수행 중입니다. 이 내용은 다음에 자세한 내용을 공개할 계획입니다.

○ 해당 툴은 'BoBoStealer' 또는 'FakeStriker', 'Jinho Spy', 'GoldDragon' 등으로 알려져 있기도 합니다. 지난 2020년 상반기에 보고된 악성 DOC 파일 중에 'flower01.ps1', 'bobo.ps1' 이름의 PowerShell 명령을 사용한 사례가 있었으며, 공격자는 'flower9801' 아이디를 사용하기도 했습니다.

○ GSC는 본 위협 케이스 분석 내용을 통해 국내서 발생 중인 지능형지속위협(APT) 동향을 공유하고, TTPs(Tactics, Techniques and Procedures)3 관점의 세부 내용을 제공하고자 합니다. 이는 국내서 발생 중인 사이버 안보 위협을 보다 능동적으로 파악하고, 지니언스 Genian EDR4 서비스를 통해 보다 효과적인 대응 방안 수립과 위협 인사이트 제공에 주목적이 있습니다.


1.2. Kimsuky 그룹 3대 APT 캠페인 유형

○ Kimsuky로 알려진 APT 그룹은 대표적으로 3개의 유형으로 분류된 위협 활동이 큰 줄기를 가지고 있습니다.

● AppleSeed (aka BlueEstimate)5
● BabyShark (aka RandomQuery, SmokeScreen)6
● FlowerPower (aka GoldDragon, FakeStriker)7

○ [AppleSeed] 유형의 경우 JSE, WSF 등 스크립트 파일이나 PE 파일(EXE, DLL) 페이로드의 백도어로 수행하는 타입이 많은 편이었고, [BabyShark] 종류는 HTA나 VBS, PHP 형태의 스크립트가 명령에 자주 사용됩니다. 그리고 [FlowerPower] 타입은 DOC, XLS, HWP 등 문서 기반 공격과 PowerShell 명령을 결합한 형태가 주류를 이루고 있습니다. 물론, 공격 전략에 따라 언급한 내용 외에 다양한 형태가 보고된 바 있습니다.

○ GSC에서는 [BabyShark] 캠페인과 관련된 위협 분석 보고서를 발간한 바 있습니다. 이에 대한 자세한 내용은 각주를 참고해 주시기 바랍니다.8

○ [AppleSeed] 사례의 경우 주요 타깃이 방위산업 및 국방분야, 코로나 백신 제약사, 비트코인 거래소 등에 대한 공격이 보고된 바 있습니다. [BabyShark] 경우는 북한인권단체 및 대북분야 종사자, 비트코인 거래자 등에 대한 공격이 있었고, [FlowerPower] 유형은 외교·안보·국방·통일 분야 활동가 및 전문가들이 표적에 포함된 바 있습니다.

○ 각 APT 캠페인은 사용된 악성 파일 도구 스타일과 TTPs 특징에 따라 구분되지만, 위협 대상에 따라 오버랩되는 경우도 존재합니다.

 

1 [Hancom] OLE 연결
2 [안랩 블로그] 악성 OLE 개체가 삽입된 한글 문서 주의
3 [Wikipedia] Tactics, Techniques and Procedures
4 지니언스 Genian EDR
5 [Malpedia] AppleSeed
6 [Malpedia] BabyShark
7 [Malpedia] FlowerPower
8 [Genians] Kimsuky APT 그룹의 Storm 작전과 BabyShark Family 연관 분석