꼰머의 보안공부

1. 개요 [1]

- 미국 국가안보국(NSA), 연방수사국(FBI), 국무부는 이메일 보안 프로토콜을 악용한 북한 해킹그룹 관련 보안 권고 발표
- 북한 해킹그룹은 신분을 가장하여 스피어피싱 캠페인을 수행

2. 주요내용

- 북한 해킹그룹은 이메일 보안 프로토콜 DMARC을 악용해 피싱 메일을 발송

- DMARC (Domain-based Message Authentication Reporting and Conformance) [2][3]
> SPF와 DKIM을 사용해 메일의 인증 여부를 확인하고, 메일이 SPF와 DKIM 검사를 통과하지 못하면 DMARC 정책이 실행

> DNS TXT 레코드에 명시

※ DMARC 정책 : 의심스러운 메일을 처리하는 방법이 명시

> SPF와 DKIM을 기반으로 동작하기에 SPF와 DKIM을 먼저 설정해야 함

※ SPF (Sender Policy Framework) : 수신측 메일서버가 발신측 메일 발송 IP가 DNS에 등록된 IP가 맞는지 확인하여 스팸인지 아닌지 확인

※ DKIM (Domain Keys Identified Mail) : 수신측 메일서버가 발신측에서 보낸 전자서명과 DNS에 등록된 DKIM 공개키로 전자서명을 검증하여 스팸인지 아닌지 확인

- DMARC 레코드 다음과 같은 항목으로 구성 [4][5]

DMARC 레코드 형식 예시: v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:report@example.com

- 북한 공격자들은 "p=none" 설정의 약점을 공격에 악용

> DMARC 레코드 설정에 따르면 p=none 설정은 검증 실패 시 아무런 조치 없이 메일을 수신

- 또는 메일 헤더를 조작하거나 [사진 2], 메일 본문에 회신 메일을 명시하여 회신을 유도 [사진 3]

- 따라서, 위협에 대응하기 위해 DMARC 보안 정책을 구현할 것을 권장

> "v=DMARC1; p=quarantine;" 또는 "v=DMARC1; p=reject;"로 설정을 업데이트

> rua, ruf 레코드를 사용해 통합 보고서를 수신하여 가시성 확보 및 잠재적 보안 침해 식별

> 단, DMARC 정책 적용으로 발송한 메일이 수신자에게 전달되지 않을 수 있으므로, 영향도 검증 필요

3. 참고

[1] https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3762915/nsa-highlights-mitigations-against-north-korean-actor-email-policy-exploitation/
[2] https://www.crinity.net/Newsletter/2019/06/Coffee_Break.html
[3] https://help.worksmobile.com/kr/administrator/service/mail/advanced-setting/what-is-dmarc/
[4] https://help.worksmobile.com/kr/administrator/service/mail/advanced-setting/what-is-dmarc/
[5] https://docs.nhncloud.com/ko/Notification/Email/ko/dmarc-record/
[6] https://www.dailysecu.com/news/articleView.html?idxno=155699

1. 개요

- QR코드(Quick Response Code)란 컴퓨터가 생성한 흑백 격자무늬 코드로, 정보를 나타내는 매트릭스 형식의 이차원 코드 [1]

> 기존 바코드의 단점(작은 용량_최대 20여자 숫자 정보만 저장)을 개선해 더 많고 풍부한 정보를 작은 코드에 저장할 수 있게됨

> 동작 과정: QR코드 인식 → 이미지 처리(정보 추출) → 디코딩 및 오류 수정 → 작업 수행

- QR코드가 대중화되면서 다양한 장소(카페, 백화점, 서점, 전자출입명부 등)에서 활용됨

> QR코드를 인식하기 전 어떤 정보가 확인할 수 없다는 단점
> 이를 악용해, QR코드를 악용한 ‘큐싱(Qshing)’ 등장

2. 큐싱(Qshing)

- QR코드와 피싱(Phishing)의 합성어로, QR코드로 악성 앱 설치를 유도해 정보 탈취, 소액결재 등 악성 행위가 발생하는 범죄 수법

※ 피싱(Phishing): Private data와 Fishing의 합성어로 피해자를 속여 개인정보 또는 금융정보를 탈취하는 수법

- 2023 08~09월 동안 공격이 587%나 증가한 것으로 확인 [3]

- QR코드를 통해 악성 프로그램을 다운받게 하고, 개인정보를 빼내며, 공격 과정은 다음과 같음

① 악성 QR코드 인식
② 악성 URL 접속
③ 악성 앱 설치 유도 및 설치
④ 개인정보 및 금융정보 탈취

※ 피싱 관련 범죄 수법의 변화 과정
① 보이스피싱(Voice Phishing)
> 전화를 이용해 피해자를 기망 또는 협박해 개인정보 및 금융정보를 요구하거나, 금전을 이체하도록 유도
> Voice, Private Data, Fishing의 합성어로 Vishing이라고도 불림
> 특정 기관으로 속여 대출 권유, 자금이체 요구하는 경우 진위 여부 확인 등 의심 필요

② 스미싱(Smishing)
> SMS와 Phishing의 합성어
> 문자 등에 악성 링크를 포함해 발송하여 클릭을 유도하며, 사용자가 해당 링크에 접근할 경우 악성코드 설치, 개인정보 및 금융정보를 탈취
> 출처가 불분명한 링크 주의, 시각적으로 비슷한 글자 사용 여부 확인 등 주의 필요

③ 파밍(Pharming)
> Phishing과 Farming의 합성어
> DNS 서버를 해킹하거나 악성코드를 유포해 사용자가 접근한 사이트와 유사한 가짜 사이트로 접속되도록 해 개인정보를 탈취
> 악성코드를 통해 이뤄지므로 안티바이러스 최신버전 사용, 출처가 불분명한 메일, 웹 사이트 확인시 등 주의 필요

④ 큐싱(Qshing)

3. 대응방안

- 출처를 알 수 없는 앱의 설치를 허용하지 않도록 스마트폰 설정 변경
- 출처가 불분명한 경우(공공장소, E-mail 등) 인식 금지 (또는 주의)
- QR 코드 링크로 연결된 앱 다운로드 금지 (또는 주의)
- 검증된 공식 마켓에서 앱 다운로드 및 내용, 평한 확인 후 다운로드
- 모바일 백신 앱, 보안이 적용된 QR 스캐너 활용
- QR코드 결제 표준안 준수(국제 표준 준수, QR코드 자체 보안기능 탑재, 위변조방지 특수필름 부착 등) [5]

4. 참고

[1] https://www.qrcode.com/ko/
[2] https://nordvpn.com/ko/blog/what-is-a-qr-code/
[3] https://www.hackread.com/qr-code-quishing-check-point-attack-spike/
[4] https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002950180
[5] https://www.fsc.go.kr/no010101/73398?srchCtgry=&curPage=262&srchKey=&srchText=&srchBeginDt=&srchEndDt=
[6] https://www.hackread.com/qr-code-quishing-check-point-attack-spike/
[7] https://www.boannews.com/media/view.asp?idx=123158&kind=1&search=title&find=%B1%DE%C1%F5%C7%CF%B4%C2+%C5%B0%BD%CC+%B0%F8%B0%DD%2C+%C5%A5%BE%CB%C4%DA%B5%E5+%BD%BA%C4%B5
[8] https://namu.wiki/w/%EC%A0%84%EA%B8%B0%ED%86%B5%EC%8B%A0%EA%B8%88%EC%9C%B5%EC%82%AC%EA%B8%B0

1. 개요

- 영국 보안 기업 Jumpsec에 의해 Microsoft Teams에서 취약점 발견

※ Microsoft Teams: MS에서 개발한 비즈니스 커뮤니케이션 플랫폼

- 외부 사용자가 보안 제어를 우회하여 피싱 메일 유포할 수 있는 취약점

2. 주요내용

- MS Teams 사용자는 각각 고유한 테넌트를 가지며, 다른 테넌트의 사용자에게 메시지를 보낼 수 있음

> 테넌시란 조직의 모든 사용자, 그룹, 리소스 및 서비스를 포함하는 컨테이너 역할을 하고, 조직의 전체 온라인 환경을 의미

> 외부 테넌트의 사용자에게 메시지를 보낼 경우 "External(외부)"가 표시됨

- 단, 외부 테넌트의 사용자에게 메시지를 보내는 경우 파일을 보낼 수 없도록 차단

- IDOR 취약점을 이용해 [사진 1]의 차단 정책을 우회하여 파일을 전송할 수 있게됨

IDOR(Insecure Direct Object Reference) 취약점
- ‘안전하지 않은 직접 객체 참조’
- 공격자가 요청 메시지의 URL 또는 파라미터를 변경해 정상적으로 허용되지 않는 기능을 실행하거나 다른 사용자의 리소스에 접근할 수 있는 공격
- 접근 제어 기능에서 발생하는 문제점 중 하나
- 수평적/수직적 권한 상승이 발생하며, 이로 인해 타 사용자 정보에 접근하거나, 기존 권한으로는 사용이 불가능한 기능을 이용하게 되는 문제가 발생

※ 접근 통제 리스크 사례
① URL이나 파라미터를 조작하여 다른 사용자의 리소스에 접근하거나 허용되지 않은 기능을 실행할 수 있는 경우
② 적절한 인증 및 인가 과정을 거치지 않고 관리자 페이지 접근할 수 있는 경우
③ 디렉토리 트래버셜 취약점과 같이 웹 디렉토리 경로를 벗어난 호스트 내부 경로의 리소스에 접근할 수 있는 경우

※ 수평적 권한 상승: 동일한 권한을 가진 다른 사용자의 객체에 접근
※ 수직적 권한 상승: 지니고 있는 권한을 넘어서는 기능을 수행(관리자 권한 등)할 수 있는 경우

- 공격자는 POST 메소드를 이용한 요청에서 ID 값(RECIPIENT_ID)을 수정하여 파일을 전송할 수 있음

/v1/users/ME/conversations/<RECIPIENT_ID>/messages

- [사진 2]의 결과로 외부 테넌트에 파일을 전송할 수 있게 됨

- Jumpsec은 MS에 관련 내용 전달

> MS로부터 즉각적인 조치가 필요한 사항이 아니라는 답변외 취약점 조치 계획 등의 답변은 받지 못함

2.1 TeamsPhisher

- 외부 테넌트에 파일을 전송하도록 Python으로 제작된 공격 자동화 툴

- 미국 해군의 보안 전문가들이 개발하여 깃허브에 공개

- 툴 사용을 위해서는 MS Teams 계정이 존재해야 함

> 대상 사용자의 존재여부 및 외부 테넌트의 메시지를 수신할 수 있는지 확인한 뒤 동작하며 미리보기 기능을 제공

3. 대응방안

- 외부 테넌트와 메시지를 주고 받을 필요가 있는지에 대한 검토

① 불필요 시

> Microsoft Teams 관리 센터 > 외부 액세스 > 해당 기능 비활성화 권고

② 일부 조직이 필요한 경우

> 허용 목록에 있는 특정 도메인과의 통신만 허용하도록 설정

> Microsoft Teams 관리 센터 > 외부 액세스

- 외부 테넌트 관련 이벤트 로깅

> Jumpsec은 소프트웨어 로깅에 외부 테넌트 관련 이벤트를 추가해 달라는 요청을 전달

> 외부 메시지 요청 모니터링 및 감지를 위한 웹 프록시 로그 구현

- 피싱 등 사회공학 공격과 관련된 직원 교육

> 기본 보안 수칙 준수

4. 참고

[1] https://labs.jumpsec.com/advisory-idor-in-microsoft-teams-allows-for-external-tenants-to-introduce-malware/
[2] https://medium.com/@timmylepp/microsoft-teams-idor-exploit-8f3aa7158ce1
[3] https://github.com/Octoberfest7/TeamsPhisher

1. 개요

- 국정원에서 북한에 의한 국내 포털사이트 '네이버' 사칭 피싱사이트 포착

- 지난 5월 북한의 국내 포털사이트(네이버, 다음 등) 사칭 주의 이후 두 번째 발표

- 기존 피싱 공격과 달리 실제 네이버 화면과 동일하여 사이트 외관만으로 구분 불가

2. 주요 내용

- 그동안 단순히 네이버 등 로그인 페이지만 복제하여 사용자들의 로그인을 유도해 계정 및 개인정보 탈취

- 하지만, 최근 포털사이트 메인화면을 완전히 복제한 피싱 페이지가 확인됨

> 국정원에서 네이버 메인화면을 완전히 복제한 피싱 페이지 확인

> 정상적인 네이버 주소(www[.]naver[.]com)과 주소가 다름 Ex. www[.]naverportal[.]com

- 포털 메인화면뿐만 아니라 증권, 부동산, 뉴스 등 자주 사용하는 세부 메뉴까지 동일

- 피싱 사이트로 추가적인 접속을 막기위해, 관련 기관과 공유 및 접속 차단 조치 진행

> 북한 피싱사이트 서버가 해외에 있어 해외기관과의 정보공유를 통해 활동을 추적 중

> 피해 차단을 위해 다각적으로 대응할 계획

- 국정원은 포털사이트 사용시 국민들의 주의를 당부

> 포털 사이트 주소를 집적 입력하거나, 즐겨찾기에 등록 후 사용하는 것이 안전

> 북한발 공격이 점점 교묘해지고 있어, 개인의 범위에서부터 주의 필요

3. 참고

[1] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=236&currentPage=1&selectBox=&searchKeyword=&fromDate=&toDate=
[2] https://www.boannews.com/media/view.asp?idx=119121&page=2&kind=1 

1. 개요 [1]

- Microsoft에서 은행 및 금융권을 대상으로 다단계 AiTM 피싱 및 BEC 공격에 대해 경고

- 은행 및 금융권과 파트너 관계에 있는 서드파티를 침해한 후 서드파티를 통해 공격 진행

- 서드파티와 피해자 간 신뢰 관계를 이용한 공격

2. AiTM 공격 [2]

- 전통적인 피싱 공격은 공격자가 정상 사이트와 유사한 피싱 사이트를 구성하여 공격 대상에 메일 링크 등으로 전달

- 링크 등으로 피싱 사이트에 접속한 사용자가 입력한 계정 정보 등을 공격자가 탈취

> 발신 주소 확인, 링크 주소 확인, 첨부 파일 확인 주의 등의 보안 교육과 MFA를 적용하여 피싱 공격에 대응

> MFA를 사용하기 위해 피해자의 휴대폰 등에 물리적으로 접근이 가능해야 하며, 피싱 사이트에 MFA를 구현하는데 어려움이 있었기 때문에 어느정도 대응이 됨

- 공격자들은 이를 우회하고자 중간자 공격(MITM, Man-in-the-middle attack)을 피싱 공격에 접목하기 시작하였으며, 이를 AiTM(adversary-in-the-middle)이라 함

> 피싱 서버에 로그인 기능을 구현하지 않고, 중간자 역할(프록시 서버)을 수행

> 사용자는 실질적으로 정상 서버와 통신을하며, 로그인 및 MFA 진행

> 공격자는 중간에서 계정 정보, MFA 값, 쿠키 등을 탈취

> 관련 툴로는 Evilginx, Evilginx 2 등이 있음

※ Evilginx: 세션 쿠키, 계정 정보 등을 피싱하는 데 사용되는 중간자 공격 프레임워크

2.1 공격 체인

① 서드파티 피싱메일 유포

> 최종 공격 대상과 파트너 관계인 서드파티로 위장하여 링크가 포함된 피싱메일 유포

② 링크 접속

> 공겨자는 Canva 서비스를 활용

> Canva를 활용해 가짜 OneDrive 문서 미리보기와 피싱 URL 링크를 보여주는 페이지를 호스팅

※ Canva: 프레젠테이션, 포스터, 문서 및 기타 시각 콘텐츠를 만들기 위해 사용되는 오스트레일리아의 그래픽 디자인 플랫폼

③ AiTM 공격

> URL에 접속하면 MS 로그인 페이지를 스푸핑한 피싱 페이지로 리다이렉션

> 해당 페이지에서 입력한 계정 정보 및 MFA, 세션 쿠키를 공격자가 탈취

④ 서비스 접속

> 앞선 과정에서 탈취한 쿠키 정보를 통해 로그인 및 MFA 인증을 우회

⑤ 추가 MFA 인증 수단 등록

> 탈취한 계정으로 접근하기 위해 새로운 MFA 인증 수단을 등록

⑥ 메일 수신 규칙 생성

> 공격자는 로그인 후 사용자의 메일함에서 수신 메일을 보관 폴더로 이동하고, 모든 메일을 읽음으로 표시하는 규칙 생성

⑦ 피싱 공격

> 공격자는 Canva URL을 일부 수정하여 대규모 피싱 공격을 수행

> 피해 사용자의 연락처를 통해 피싱 메일을 발송

⑧ BEC 공격

> 부재중 사용자(피싱 메일을 읽지 않은 사용자)로 확인된 경우 해당 메일 삭제

> 피싱 메일의 진위 여부와 관련된 질문을 수신한 경우 정상 메일이라고 응답 및 해당 메일 삭제

※ BEC 공격은 정당한 송신자로 위장하여 수신자를 속이는 방법이며, EAC 공격은 공격자가 실제 계정을 탈취하여 추가 공격을 진행하는 방법인데, 해당 경우에는 EAC 공격이 좀 더 적합한 것으로 판단됨.

⑨ 계정 도용

> 악성 URL에 접속한 사용자의 계정을 탈취하여 또 다른 공격에 사용

⑩ BEC 공격

> 앞선 BEC 공격과 동일한 방법으로 반복

3. 대응 방안

- 계정 정보 변경

> 비밀번호 변경, MFA 인증 수단 확인 등

- 조건부 액세스 정책 적용 [3]

> 조건부 액세스란 접속지 IP, 접속지 위치, 디바이스, 접속 어플리케이션 등을 종합적으로 평가하여 인증 여부 및 인증 수준 결정

- 지속적인 세션 검증 [4]

> 일반적으로 액세스 토큰은 1시간 동안 유효

> 해당 토큰이 만료될 경우 해당 세션이 유효한 세션인지 검증

- 피싱 방지 솔루션 도입 [5]

> Microsoft Defender SmartScreen의 경우 사용자가 방문하는 웹 페이지의 동작 및 보고된 동작과 비교

> 비교 결과를 통해 정상 사이트인지 악성(또는 유해) 사이트인지 경고를 발생

4. 참고

[1] https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/ 
[2] https://thehackernews.com/2023/06/microsoft-uncovers-banking-aitm.html?m=1
[3] https://learn.microsoft.com/ko-kr/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc
[4] https://learn.microsoft.com/ko-kr/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc
[5] https://learn.microsoft.com/ko-kr/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc
[6] https://attack.mitre.org/techniques/T1557/
[7] https://www.boannews.com/media/view.asp?idx=119015
[8] https://www.xn--hy1b43d247a.com/initial-access/aitm

1. 개요

- 북한 해킹조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹공격을 진행

- 국가정보원이 처음으로 北해킹공격 관련 통계를 공개하며 경각심 제고

※ 대한민국 대상 해킹공격 중, 2020~2022년에 발생한 북한으로부터의 사이버 공격 및 피해통계를 공개

- 북한발 공격은 이메일을 악용한 해킹 공격(74%), 취약점 악용(20%), 워터링 홀(3%), 공급망 공격(2%), 기타(1%) 순으로 집계

※ 국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻

2. 주요내용

- 북한은 해킹메일로 확보한 계정정보를 이용해 정보 탈취하며, 수발신 관계를 분석해 2~3차 공격대상을 선정 및 악성코드 유포 등을 수행

- 북한이 사칭한 기관 비율은 다음과 같음

> 일반적으로 발신자명을 먼저 확인하는 점에 착안해 주로 네이버, 카카오를 사칭

- 또한, 해킹 메일 제목은 다음과 같음

> 계정 정보, 회원 정보 등 변경 또는 이용제한 안내와 같이 계정 보안 문제를 주제로 피싱메일 발송

- 사칭 발신자명 및 사칭 메일주소

> 사용자들의 의심을 낮추기위해 '발신자명'과 '메일 제목'을 교묘히 변형

3. 사칭방법 및 대응방안

- 관리자를 사칭하며, 악성 링크를 삽입해 계정 입력 유도 및 정보 탈취

대응방안	참고
발신자 이름을 유사하게 흉내내므로, 아이콘 차이 확인
발신자 주소 확인	※ 공식 메일주소 - 사칭 메일주소 비교 표 참고
메일 내 링크 주소 확인
링크 클릭 후 표시되는 화면의 주소 확인
메일 무단열람 방지를 위한 2단계 인증 설정
일반적인 보안 규칙 준수	- 출처가 불분명한 파일, 링크 실행 및 클릭 금지 등

4. 참고

[1] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=234&currentPage=1&selectBox=&searchKeyword=&fromDate=&toDate= 

[2] https://www.boannews.com/media/view.asp?idx=118493&page=1&kind=2 

1. 개요

- BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득

- ‘불가능한 이동(Impossible Travel)’ 경고 기능을 악용
- MS는 현재 아시아와 동유럽의 해커들 사이에서 이러한 수법이 유행하고 있다고 경고

불가능한 이동(impossible travel)
- 현재 접속하려는 자가 물리적으로 불가능한 공간 이동을 감행했다고 알리는 것으로, 계정 탈취 시도를 탐지하고 어렵도록 하기위한 목적을 지님
- 접속을 시도하려는 사용자의 마지막 접속 위치와, 현재 접속 시도가 이뤄지고 있는 위치 사이의 시간과 거리를 계산하여 경고 발생
- 즉, 물리적으로 불가능한 접속 시도가 확인된 경우 경고를 발생시키는 것
- 불가능한 이동 경고가 발생한 경우 공격자들의 침투 가능성이 높음을 의미

2. 주요 내용

- 공격자들은 2가지 방식을 공격에 사용하여 ‘불가능한 이동’ 경고를 우회
① 불릿프로프트링크(BulletProftLink) 플랫폼: 대규모 악성 이메일 캠페인을 실시할 수 있도록 해 주는 플랫폼
② 피해자 지역 내 IP로 위조

- 2022년 FBI의 BEC 공격 피해 규모
> 2만 1천 건 이상의 신고 접수
> BEC 공격에 의해 피해는 최소 27억 달러

- BEC 공격은 임원 또는 관리자급의 직원을 대상으로 수행
> 금융 정보와 개인정보를 탈취하기 위해 재무 담당자와 HR 직원들을 자주 공략

- 지역 정보만 확인해서 접속 시도 트래픽의 악성 여부를 판단할 수 없다는 지적
> 브라우저 정보, 접속 후 행동 패턴, 특정 데이터의 활용 여부 등 악성을 판단할 때 참고해야 할 정보는 많기때문

3. 대응

- MS는 디마키(DMARC)를 활성화 권장

> 이메일 인증 프로토콜로, DMARC 레코드가 활성화된 메일을 수신하면 정책에 따라 메일을 검사

> 인증을 통과하면 전송되며, 통과하지 못할 경우 격리

> SPF(Sender Policy Framework)와 DKIM(DomainKeys Identified Mail)을 먼저 설정해야 함

SPF(Sender Policy Framework)
- 메일의 발신자가 정상적으로 등록된 서버인지 확인
- 메일 수신 시 발신지의 IP주소를 DNS 서버에 정의된 IP주소와 비교
- 발신자가 SPF 레코드(메일 서버의 정보와 정책을 나타냄)를 설정하여 발송
- 수신자는 발신자의 DNS에 등록된 SPF 레코드와 발송 IP를 대조하고 결과에 따라 수신여부 결정

DKIM(DomainKeys Identified Mail)
- 메일이 실제 도메인으로부터 발송되었는지 확인하여 이메일 위변조 여부를 판별
- 이메일 발송 시 발신자 측 메일 서버는 메시지 내용과 발신자의 개인키를 기반으로 DKIM-Signature를 생성 및 발송되는 메일 헤더에 첨부
- 메일 수신 시 수신자 측 메일 서버는 서명을 검증할 공개키를 DNS 서버에서 선택 및 서명 검증
- 서명의 유효성 검증에 실패할 경우 검사 결과가 ‘DKIM Fail’로 표시되며, 수신자의 메일 서버가 해당 메일을 스팸으로 차단

- 인증 관련 규정을 보다 엄격하게 설정

> 다중 인증 옵션을 활성화

- 기본 보안 수칙 준수

1. 개요

- 2023.03.21 Zscaler사에 의해 북한 해킹 그룹 APT37(ScarCruft, Temp.Reaper)이 사용중인 Github 저장소가 발견

- 저장소에는 APT37 그룹에서 다양한 분야의 기업, 기관을 공격 하기위해 사용하는 파일들이 다수 존재

- CHM, HTA, HWP, MS Excel Add-in XLL, Macro-Based MS Office 등 공격 초기에 사용되는 피싱용 파일이 확인

2. 주요 내용

2.1 CHM 파일

- 악성 HTA 파일을 다운로드하는 CHM 파일과 Decoy 파일을 압축한 파일 이용

HTA 파일 (HTML Application)
> 인터넷 브라우저 보안 모델의 제약 없이 실행되며,  "완전히 신뢰할 수 있는" 응용 프로그램으로 실행
> 따라서, 웹 브라우저의 보안을 우회하기 때문에, 공격에 자주 악용됨

CHM 파일 (Compiled HTML Help)
> 컴파일된 HTML 도움말 파일 형식
> 소프트웨어 응용 프로그램에 대한 온라인 도움말, 교육 가이드, 대화형 책 등에 이용

Decoy 파일
> 사용자들을 속이기위한 정상 파일로 위장한 악성 파

- Decoy 파일은 비밀번호가 설정되어 있으며, 해당 비밀번호는 CHM 파일 실행 시 확인 됨

> CHM 파일에는 C2 URL이 저장되어 있어, 실행 시 Mshta.exe를 통해 해당 URL로 접속

> 최종적으로 Chinotto PowerShell-based 백도어 설치

mshta.exe
> Microsoft HTML 응용 프로그램(HTA)을 실행하는 유틸리티
> mshta.exe를 활용해 파일 내 인라인 스크립트로 mshta.exe에 의해 실행될 수 있음

2.2 LNK 파일

- LNK 파일의 경우 국내 기업의 로그인 페이지로 위장한 HTML 파일이 RAR로 압축되어 있음

> "html.lnk" 및 "pdf.lnk"와 같이 이중 확장자를 사용

> Mshta.exe를 통해 C2로 접속하여 Chinotto PowerShell-based 백도어 설치

LNK 파일 (Link)
> 윈도우 운영체제에서 사용되는 바로가기 파일

- 공격에 사용된 LNK 파일 분석 결과 동일한 가상 머신을 재사용한 것으로 확인됨

> 가상 머신의 Mac 주소 00:0c:29:41:1b:1c로 확인

2.3 Macro-Based MS Office

- MS Office 파일에 내장된 매크로를 통해 MSHTA를 실행하고, Chinotto PowerShell-based 백도어를 다운

2.4 OLE 개체가 포함된 HWP 파일

- Chinotto PowerShell-based 백도어를 유포하기 위해 OLE 개체 악용

> OLE 개체는 악성 PE 페이로드를 포함하며, 해당 페이로드를 통해 C2 접속 및 Chinotto PowerShell-based 백도어 다운

OLE (Object Linking & Embedding)
> 응용프로그램에서 다른 응용프로그램의 객체를 포함 또는 참조할 수 있게 해주는 기술
> 문서에 다양한 종류의 미디어 및 데이터를 쉽게 삽입할 수 있음

2.5 MS Excel Add-in XLL

- 현재까지 APT37 그룹이 사용하는 방법 외 새로운 공격 방식 MS Excel Add-in 방식이 확인

> Add-in은 XLL 파일로, MS Excel 응용프로그램에서 추가 기능으로 동작하는 DLL

> Excel 응용프로그램과 통신을 위한 다양한 콜백함수(ex. xlAutoOpen())가 포함

- Office Add-ins platform
> Office 응용 프로그램을 확장하고 Office 문서의 콘텐츠와 상호 작용하는 솔루션을 구축할 수 있음
> HTML, CSS 및 JavaScript를 사용하여 MS Office를 확장하고 상호 작용할 수 있음

- 콜백함수
> 특정 이벤트에 의해 호출되는 함수

- 동작 방식은 다음과 같음

① 문자열 'EXCEL'을 통해 리소스 섹션에 저장된 Decoy 파일을 추출 및 저장

ex. C:\programdata\20230315_세종지원[.]xls

② XLS 파일에 내장된 URL로  MSHTA를 사용해  Chinotto PowerShell-based 백도어를 포함한 HTA 파일 다운

3. 대응방안

① 불분명한 출처의 파일 등 실행 금지/주의 등 일반적인 보안 상식 준수

② "4. 참조" 내 확인되는 침해지표 보안 장비 등록 및 모니터링

4. 참조