지니어스 시큐리티, 국세청 우편물 발송 알림 사칭 공격 '위협 분석 보고서' 발간"코니, 인터넷 주식·가상자산 거래자와 대북 분야 종사자 공격… 압축파일 유의해야"
  • ▲ 악성 파일 전체 흐름도. ⓒ지니어스 시큐리티 센터 제공
    ▲ 악성 파일 전체 흐름도. ⓒ지니어스 시큐리티 센터 제공
    북한의 해킹그룹 코니(Konni)가 국내에서 벌이고 있는 '국세청 우편물 발송 알림 사칭 공격'(Konni APT Campaign) 흐름의 특징을 분석한 보고서가 나왔다.

    지니언스 시큐리티 센터(GSC)는 지난달 31일 발간된 '위협 분석 보고서'에서 "코니의 국내 공격 사례는 주로 인터넷으로 주식이나 비트코인 등 금융 또는 가상자산 분야 거래자를 노려 접근하는 양상을 보인다"며 "특이한 것은 대북 분야 종사자에 대한 공격도 오버랩된다는 점"이라고 밝혔다.

    코니는 세금 고지서나 신고 안내문 등 국세청 우편물 센터에서 발송하는 알림 서비스뿐 아니라 세무 사무실에서 보낸 급여대장, 공정거래위원회 서면실태조사 사전 예고 안내 통지문 등을 위장해 스피어 피싱(spear phishing) 공격을 감행해왔다.

    공격의 전체 흐름은 ▲해킹 메일 ZIP 전달 ▲피해 대상자의 LNK 접근 ▲LNK 내부 압축파일 해제 ▲다단계 악성파일 작동 ▲순차명령 정보 유출 ▲거점용 C2(명령제어) ▲C2 서버 접근 순으로 구성된다.

    GSC가 보고서에서 분석한 한 대북 분야 기업 대표가 받은 이메일에는 '소명자료 제출요청 안내.zip' 이름의 압축 파일이 첨부돼 있었다. 압축파일 내부에는 2개의 HWP 문서 파일과 1개의 LNK 바로가기 파일이 포함돼 있었다. LNK 파일명은 '소명자료 목록(국세징수법 시행규칙).hwp.lnk'이었다.

    '소명자료 목록(국세징수법 시행규칙).hwp.lnk' 바로가기 파일이 실행되면 피해자 컴퓨터의 주요 정보를 수집해 유출을 시도하고, 순차적 다단계 (VBS, BAT, Powershell) 명령을 통해 추가 악성 파일을 설치하는 등 잠재적 위협에 노출된다.

    GSC는 "특히 국내에서는 EXE 및 CHM 유형뿐만 아니라 HWP, XLS, DOC 등 문서 기반 악성파일을 사용한 공격이 지속적으로 보고됐다"며 "2023년 1월부터는 세무 사무실에서 보낸 급여대장 위장, 공정거래위원회 서면 실태조사 사전 예고 안내 통지문 케이스와 함께 세무조사 통지서 사칭 등 금융관련 테마로 공격이 수행됐다"고 설명했다.

    이어 "특정 기업의 급여대장으로 사칭한 경우는 CHM 컴파일된 HTML 도움말 파일형 악성코드가 사용됐고, 그 이후로는 LNK 바로가기 파일형 악성코드가 사용되는 특징이 존재한다"고 덧붙였다.

    공격자는 다양한 실전 경험을 통해 효과적인 위협 시나리오를 기획하고, 거점용 C2(명령제어) 서버를 구축해 본격적인 공격을 준비한 뒤, 공격 대상자를 선정 후 현혹될 만한 주제의 내용과 악성 파일을 개발해 스피어 피싱 공격을 수행했다.

    APT37 그룹과 달리, 코니가 사용한 LNK 파일은 포맷 내부에 16진수 스트링 데이터를 블럭화해 파워셀(Powershell) 명령을 수행한다. 미끼로 보여줄 정상 (문서) 파일 후위에 악성 ZIP 또는 CAB 압축 포맷이 연이어 내장돼 있는 부분도 고유한 특징이다.

    또한 압축 내 악성 VBS 스크립트와 BAT 파일 등을 Powershell 명령어로 풀어 호출하는 과정을 거친다. 실행 과정에 필요한 환경변수 등은 알파벳 대소문자 조합의 임의의 문자열을 사용해 가독성을 낮추고, 압축이 풀린 Documents 경로내 VBS 파일을 통해 별도의 BAT 파일을 연속적으로 실행하게 된다.

    코니 그룹이 사용하는 악성 스크립트 명령에는 보통 'pakistan.txt'이라는 파일의 존재 여부를 비교하는 루틴이 있다. 만약 해당 파일이 경로에 존재할 경우 주요 명령을 점프해 퇴장(EXIT)하는 루틴으로 이동하게 된다. 따라서 이 파일은 일종의 '킬 스위치(kill switch)' 역할을 수행할 수 있고, 공격자가 의도적으로 활용 중이다.

    악성 LNK 바로가기 파일 구조 내부에는 '자금출처명세서(부가가치세법 시행규칙).hwp' 정상 문서와 '04769.zip' 파일이 임베디드된 형태로 보관돼 있다. 정상 문서 파일은 LNK 파일이 실행된 경로에 만들어지고, 압축 파일은 'Public' 공용 폴더 경로에 생성된다. 압축은 공용 경로 하위의 'Documents' 공용문서 경로에 풀리고, 'start.vbs' 파일이 실행되는 과정을 거치게 된다.

    '04769.zip' 파일 내부에는 총 5개의 BAT 파일이 존재한다. 'start.vbs' 파일에 의해 맨 처음 호출되며, 배치 파일 내부명령에 따라 순차적으로 악성 행위를 수행하게 된다. 물론 변형에 따라 복잡도는 조금씩 차이가 발생한다.