국세청 우편물 발송 알림 사칭 공격 (Konni APT Campaign)

지니언스 시큐리티 센터에서  위협분석 보고서를 발간했습니다. 이 보고서는 최신 사이버 위협과 취약점을 조사하고, 신속한 대응과 예방을 위한 정보를 제공합니다.  (전문보기 아래 링크)

리포트 주요 요약 (Executive Summary)

•  국세청 우편물 센터 발송알림 서비스로 위장 후 소명자료 제출 요청 안내 ZIP 파일 전달
•  ‘소명자료 목록(국세징수법 시행규칙).hwp.lnk’ 파일명의 LNK 악성 코드 사용
•  세무 사무실에서 보낸 특정 기업 급여대장으로 위장해 CHM 악성 파일 활용 수법 존재
•  공정거래위원회 서면 실태조사 사전 예고 안내통지문 사칭 등 유사 위협 다수 보고
•  코니(Konni) APT 위협 캠페인과 TTPs 일치, 다양한 변종 공격 국내서 지속 전개 중

개요 (Overview)

1. 금융 및 기밀정보 위협 식별 (Threat Hunting)

○ 지난 6월 27일 지니언스 시큐리티 센터(이하 GSC)는 북한배후 해킹 그룹으로 지목된 코니(Konni)의 새로운 사이버 위협 활동을 식별했습니다. GSC는 본 위협 캠페인이 수년간 국내에서 지속 중이며, 금융 정보 탈취 목적에 높은 우선순위가 있다고 판단합니다.

○ 물론, 대북분야 종사자를 포함해 공격 대상이 폭넓게 병행 중인 점은 북한 연계 그룹의 고유한 특징 중 하나입니다. GSC는 해당 위협 활동을 꾸준히 추적 관찰하고 있으며, 초기 정찰 과정부터 측면 이동까지 단계별 프로세스 분석과 위험도 평가, Genian EDR 대응 검증을 수행 중입니다.

○ 본 사례는 국세청 우편물 센터에서 발송한 알림 서비스처럼 위장했습니다. 국세청은 납세자에게 알릴 내용이 있을 때 납세자의 주소지로 우편물을 보냅니다. 세금 고지서나 신고 안내문과 같은 우편이 대표적인데, 국세청에서 보낸 우편물을 납세자가 제때 확인하지 못한 경우에는 세금이 체납될 수 있습니다. 공격자는 이런 점을 악용해 스피어 피싱 공격 테마로 삼았습니다.

2. 악성 파일 동작 흐름도 (Malware Flowchart)

○ 세금 관련 이슈는 기업 관계자로서 매우 민감한 소재 중 하나로 실제 공격을 받은 대상자는 대북분야 기업의 대표입니다. 수신자로 하여금 불안 심리를 증폭시켜, 첨부 파일에 대한 접근을 보다 빠르게 만들기 위한 위협 전략으로 관측됩니다. 이메일에는 ‘소명자료 제출요청 안내.zip’ 이름의 압축 파일이 첨부돼 있으며, 압축 파일 내부에는 2개의 HWP 문서 파일과 1개의 LNK 바로가기 파일이 포함돼 있습니다. LNK 파일명은 ‘소명자료 목록(국세징수법 시행규칙).hwp.lnk’ 입니다.

○ ‘소명자료 목록(국세징수법 시행규칙).hwp.lnk’ 바로가기 파일이 실행되면 피해자 컴퓨터의 주요 정보를 수집해 유출을 시도하고, 순차적 다단계 (VBS, BAT, Powershell) 명령을 통해 추가 악성 파일 설치 등 잠재적 위협에 노출됩니다.

[그림 01] 악성 파일 전체 흐름도

3. Konni 배경 (Background)

○ 일명 코니(Konni)로 명명된 APT 캠페인은 지난 2017년 시스코의 탈로스¹에서 처음 명명했습니다. 당시 탈로스 보고서에 따르면 2014년부터 약 3년에 걸쳐 알려지지 않은 원격 관리 도구가 사용됐습니다. 이전 사례 기준으로 MITRE ATT&CK 정보에 의하면 Konni 캠페인과 APT37 그룹이 잠재적으로 연결되는 몇 가지 증거가 있다고 밝힌 바 있습니다. 실제 피해 대상자가 오버랩되는 경우가 간혹 발견됩니다.

○ 탈로스에 따르면, 3년 동안 관찰된 다수의 위협 캠페인에서 공격자는 초기 공격 벡터로 스피어 피싱 수법을 구사했습니다. 사회공학적 기법과 결합해 이메일에 첨부된 악성 파일을 열어보도록 유도하고, 미끼(Decoy) 문서를 사용자에게 표시한 다음 피해자 컴퓨터에서 악성 파일을 실행합니다.

○ 코니 캠페인은 한국을 대상으로 한 다양한 위협 사례서 꾸준히 보고됐습니다. 주로 비트코인이나 북한 및 러시아, 그 외 여러 사회적 이슈나 특정 관심사 등 민감 소재를 접목해 이용자들을 현혹해 오고 있습니다. 특히, 국내에서는 EXE 및 CHM 유형뿐만 아니라 HWP, XLS, DOC 등 문서 기반 악성파일을 사용한 공격이 지속 보고됐습니다.

○ 2023년 1월부터는 세무 사무실에서 보낸 급여대장 위장, 공정거래위원회 서면 실태조사 사전 예고 안내 통지문² 케이스와 함께 세무조사 통지서 사칭 등 금융관련 테마로 공격이 수행됩니다. 특정 기업의 급여대장으로 사칭한 경우는 CHM 컴파일된 HTML 도움말 파일형 악성코드가 사용됐고, 그 이후로는 LNK 바로가기 파일형 악성코드가 사용되는 특징이 존재합니다.

4. 공격 전술 및 기술, 절차 (TTPs) & 킬 스위치

○ 공격자는 다양한 실전 경험을 통해 효과적인 위협 시나리오를 기획하고, 거점용 C2(명령제어) 서버를 구축해 본격적인 공격을 준비합니다. 그리고 공격 대상자를 선정 후 현혹될 만한 주제의 내용과 악성 파일을 개발해 스피어 피싱 공격을 수행했습니다.

○ LNK 바로가기 타입의 공격은 국내에서 다수 보고되고 있습니다. 특히, APT37 그룹은 자동화된 악성코드 제작도구까지 도입해 활용하는 등 나름 적극적으로 사용 중인데, 코니 그룹이 사용한 코드와는 기술적으로 일부 상이한 구조를 보입니다.

○ APT37 그룹과 다르게 코니 그룹이 사용한 LNK 파일은 포맷 내부에 16진수 스트링 데이터를 블럭화해 Powershell 명령을 수행합니다. 미끼로 보여줄 정상 (문서) 파일 후위에 악성 ZIP 또는 CAB 압축 포맷이 연이어 내장돼 있는 부분도 고유한 특징입니다. 압축내 악성 VBS 스크립트와 BAT 파일 등을 Powershell 명령어로 풀어 호출하는 과정을 거치게 됩니다.

○ 실행 과정에 필요한 환경변수 등은 알파벳 대소문자 조합의 임의의 문자열을 사용해 가독성을 낮추고, 압축이 풀린 Documents 경로내 VBS 파일을 통해 별도의 BAT 파일을 연속적으로 실행하게 됩니다.

○ 코니 그룹이 사용하는 악성 스크립트 명령에는 보통 ‘pakistan.txt’ 파일의 존재 여부 비교 루틴이 있습니다. 만약, 해당 파일이 경로에 존재할 경우 주요 명령을 점프해 퇴장(EXIT)하는 루틴으로 이동하게 됩니다. 따라서 이 파일은 일종의 ‘킬 스위치(kill switch)’ 역할을 수행할 수 있고, 공격자가 의도적으로 활용 중입니다.

5. EDR 솔루션을 통한 가시성 확보 (Visibility)

○ 본 사례의 경우 악성 LNK 바로가기 파일 구조 내부에 ‘자금출처명세서(부가가치세법 시행규칙).hwp’ 정상 문서와 ‘04769.zip’ 파일이 임베디드 된 형태로 보관되어 있습니다. 정상 문서 파일은 LNK 파일이 실행된 경로에 만들어지고, 압축 파일은 ‘Public’ 공용 폴더 경로에 생성됩니다. 압축은 공용 경로 하위의 ‘Documents’ 공용 문서 경로에 풀리고, ‘start.vbs’ 파일이 실행되는 과정을 거치게 됩니다.

○ ‘04769.zip’ 파일 내부에는 총 5개의 BAT 파일이 존재하고, ‘start.vbs’ 파일에 의해 맨 처음 호출되며, 배치 파일 내부명령에 따라 순차적으로 악성 행위를 수행하게 됩니다. 물론 변형에 따라 복잡도는 조금씩 차이가 발생합니다. Genian EDR³ 제품은 이처럼 복잡성을 지닌 단말 이상행위를 조기에 탐지하고 가시성을 제공해 신속한 대응 정책 수립이 가능합니다. 이를 통해 기업내부에 유입된 신규 위협을 빠르게 조치할 수 있습니다.

[그림 02] Genian EDR에서 코니 위협 캠페인 행위 탐지 화면

¹ KONNI: A Malware Under The Radar For Years
² (공정거래위원회) 서면실태 조사 사칭 해킹메일 열람주의
³ Genian EDR Overview