한국 노린 악성HWP 공격, 더 교묘해졌다 > 시화공단/반월공단/자유게시판

한국 인터넷 사용자를 겨냥한 악성 HWP 문서 취약점 기반 공격 기법이 한층 더 교묘해졌다.

​

HWP문서 기반 공격코드 '록랫(ROKRAT)'이 지난해말 새 버전으로 등장했다. 록랫은 한글과컴퓨터 한글 워드프로그램과 그 파일포맷 HWP의 기존 취약점(CVE-2013-0808)을 악용한 신종 공격코드(익스플로잇, exploit)다. 시스코시스템즈 위협정보분석조직 탈로스(Talos)가 지난해 처음으로 발견했다.

​

시스코시스템즈 탈로스는 록랫을 만들어 사용한 공격조직이 지난 2016년 하반기부터 2017년까지 수행한 일련의 사이버위협 활동을 추적, 분석해 왔다. 분석 결과 이 공격조직이 6차례에 걸쳐 세계 각지에 HWP 및 마이크로소프트(MS) 오피스 포맷의 악성문서를 동원한 공격활동(캠페인)을 벌였고, 특히 한국어로 작성된 HWP 포맷 악성문서로 국내 사용자를 겨냥한 공격도 수차례 진행했다고 밝혔다.

탈로스는 한국과 세계 각지에 악성문서 공격을 벌인 조직을 '그룹123(Group 123)'이라 명명하고, 지난 16일 공식블로그 포스팅을 통해 그룹123의 과거 활동 이력을 분석한 결과를 제시했다. 더불어 그룹123이 올초 새로운 공격활동을 시작했으며, 여기서 지난해(2017년) 사용한 록랫 익스플로잇의 새 버전을 발견했다고 덧붙였다.

​

탈로스는 2016년 하반기부터 최근까지 그룹123의 공격활동을 추적했다. 그룹123 소행으로 식별된 캠페인은 '골든타임(2016년 8월~2017년 3월)', '사악한새해(2016년 11월~2017년 1월)', '행복하십니까(2017년 3월)', '프리밀크(2017년 5월)', '북한인권(2017년 11월)', '2018년 사악한새해(2018년 1월~)' 이렇게 6가지다. 이 가운데 골든타임, 사악한새해, 북한인권, 2018년 사악한새해, 4가지 공격에 악성HWP문서가 쓰였다.

​

탈로스는 요약문을 통해 "우리는 분석을 통해 다음 6가지 캠페인이 그룹123에 진행됐음을 확신하고 있다"며 "분석 결과에 따르면 골든타임, 사악한새해, 북한인권 캠페인 모두 대한민국 사용자를 특정 대상으로 삼고 있다"고 설명했다. 또 "이 그룹이 활용한 스피어피싱 및 악성문서의 경우, 번역 서비스를 사용하지 않고 한국 현지인이 작성한 것으로 보이는 대단히 구체적인 내용이 포함돼 있었다"고 지적했다.

.

.

.

.

■ 결론 "그룹123, 주 공격 대상은 한반도"

​

탈로스에 따르면 그룹123은 워크플로에 한컴오피스 한글 워드프로그램 또는 MS오피스용 공격코드를 포함하고, 페이로드를 여러 단계로 분할해 해당 캠페인을 수정할 수 있다. 침해된 웹서버나 정상 클라우드 기반 플랫폼을 쓰고 HTTPS 통신을 사용해 트래픽 분석을 어렵게 만들 수 있다. 제3자의 보안 환경을 뚫고 스피어피싱 캠페인의 거짓 정보나 가짜 신분을 위조할 수 있고, 최근 파일리스 악성코드도 사용했다.

​

탈로스는 "그룹123는 한국 대상으로 할 때는 특정 HWP 문서를 사용했다면, 전세계 대상으로는 MS오피스문서를 사용하는 등 일반적인 공격수단으로 전환할 수 있다"며 "이 그룹은 첩보 수집 활동에 참여했고 최종적으로 파괴공격을 시도했다"고 결론내렸다. 또 "이 공격조직은 앞으로도 계속 활발히 활동할 것으로 예상된다"며 "(공격) 대상은 바뀔 수 있지만 지금은 한반도가 주요 대상이라고 판단된다"고 덧붙였다.