1. 개요

- 북한 배후 해킹그룹 김수키(Kimsuky)에서 국내 보안 프로그램으로 위장한 악성코드 유표 정황 포착

- Go 언어 기반 인포스틸러로, 국내 보안기업의 보안 프로그램 설치파일로 위장

- 시스템 정보, 브라우저 정보, AV 설치 목록 등을 탈취하며, GPKI 정보 또한 탈취를 시도

- 악성코드에 파일에 포함된 문자열을 따 '트롤스틸러(Troll Stealer)'로 명명

 

2. 주요내용 [1]

- 악성코드는 국내 특정 웹 사이트 접속시 연결되는 보안 프로그램 다운로드 페이지로부터 유포

> SGA Solutions의 보안 프로그램 설치 파일(TrustPKI, NX_PRNMAN)로 위장

> 악성코드는 정상 인스트롤러와 악성코드를 드랍 및 실행하는 Dropper

> 악성파일은 모두 원래 인증서인 “SGA Solutions”가 아닌, 유효한 “D2innovation Co.,LTD” 인증서로 서명

[사진 1] 악성 파일 서명 정보

2.1 실행 흐름

[사진 2] 실행 흐름 요약

① Mutex  생성 및 자가 삭제

- 중복 실행 방지를 위한 Mutex 생성

- %Temp% 하위 경로에 자가 삭제를 위한 BAT 스크립트 파일 생성 및 실행

 

② 파일 Dropper

- 정상으로 위장하기 위해 SGA Solutions 정상 설치파일을 Desktop 경로에 설치 및 실행

- Troll Stealer와 감염 이력을 확인하기 위한 파일을 드랍

 

③ Troll Stealer 설치

- rundll32.exe 프로세스를 통해 실행하며, 감염 이력 확인을 위한 파일명이 Export 함수로 호출

> 감염 이력 확인을 위한 파일이 존재하는 경우에만 악성 행위 수행

> 자체적으로 중복실행 방지를 위한 Mutex 생성 (Dropper Mutex와 다른 값)

> 분석 방해를 위해 VMProtect 패킹

 

④ 구성 데이터 설정

- 감염된 시스템의 MAC주소, 디렉터리 경로 수집 후 악성행위 수행을 위해 Config 임시 파일 생성

> Config 내에는 C2 서버 주소 등의 정보가 포함

> Config 파일 암호화 후 C2 서버 전송 및 파일 삭제

 

⑤ 정보 수집

- 감염된 시스템 내 정보를 탈취 및 암호화 후 C2 서버로 전송

- 특히, C드라이브 내 GPKI(Government Public Key Infrastructure) 폴더 탈취 시도가 확인

> 행정전자서명인증서인 GPKI는 국내 행정 및 공공기관 등의 정부에서 사용하는 전자적 정보 [2]

> 행정전자서명의 진위를 검증할 때 사용되는 공인인증서

> 일반 PC에서는 사용되지 않고, 공무를 위해 사용되는 PC에 설치되는 것이 일반적

> 공공에 설치된 PC 등을 타겟으로 한 캠페인으로 평가됨

[사진 3] 악성코드 탈취 정보 목록

 

⑥ 파일 암호화

- C2 서버로 데이터 전송 전, 데이터를 암호화

> RC4와 RSA-4096 알고리즘을 조합하여 데이터를 암호화

> 하드코딩된 PKCS#1의 DER로부터 RSA 공개키 파싱을 수행

> 랜덤 RC4 키 값을 생성하여 탈취 데이터 암호화

> RSA 공개키를 이용해 RC4 암호화 키 암호화

 

⑦ C2 통신

- C2 통신을 위해 12개의 필드로 구성된 60바이트 크기의 구조를 사용

> 통신 목적과 전송하는 데이터 유형에 따라 각 필드 값을 다르게 설정

> 데이터를 구조에 맞게 구성한 후 바이너리 내 하드코딩된 4바이트 Key를 사용해 XOR 및 Base64 인코딩

> 인코딩 결과는 "a=[Encoded_Data]" 형식으로 C2 서버에 전송

※ 데이터 탈취 => 파일 암호화(RC4+RSA) => 통신 구조체 인코딩(XOR+Base64) => a 파라미터로 전달

[사진 4] 통신 구조 및 필드 값

⑧ 자가 삭제

- 악성행위 수행 후 자가삭제를 위해 .tmp 디렉토리에 PS1 파일 생성

> PS1 파일은 악성 DLL 및 스스로를 삭제

 

※ 분석 보고서에서 침해지표 제공 [1]

 

3. 참고

[1] https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-35b3cd961f91
[2] https://www.gpki.go.kr/jsp/certInfo/certIntro/eSignature/searchEsignature.jsp
[3] https://www.boannews.com/media/view.asp?idx=126703&page=1&kind=1

'악성코드 > 분석' 카테고리의 다른 글

동아시아 사용자를 대상으로 유포되는 악성코드  (0) 2024.06.21
z0Miner, 국내 WebLogic 서버 대상 공격  (0) 2024.03.09
Androxgh0st 악성코드 분석 보고서  (0) 2024.01.19
대한민국 사용자를 대상으로 한 SugarGh0st RAT  (1) 2023.12.04
KISA 보안 업데이트로 위장한 악성코드 유포  (0) 2023.06.13
요약 - 북한 배후 해킹그룹의 사회공학적 기법을 악용한 공격에 대한 경각심을 높이기 위해 한미 합동 보안권고문 발표
- 대북정책 그룹과 신뢰할만한 연관성을 가진 실존 인물들을 사칭하여 스피어피싱 공격을 수행
내용 - 북한 사이버 행위자들은 악의적 컴퓨터 네트워크 탈취(CNE)를 위해 많은 경우 사회공학 기법을 사용
> 김수키는 스피어피싱을 공격 개시 및 공격 대상의 기기와 네트워크에 대한 접근 확보를 위한 주요 수단들 중 하나로 사용
> 김수키는 사회공학 기법들을 계속해서 발전시키면서 자신들이 자행하는 스피어피싱 공격을 식별하기 더욱 어렵도록 만듦

- 김수키 조직의 스피어피싱 공격은 방대한 사전조사 및 준비를 거쳐 시작
> 가치있는 대상을 식별하기 위해 종종 오픈소스 정보를 활용하고, 더욱 현실적이고 매력적으로 보일 만한 온라인 페르소나를 맞춤 제작
> 사칭하고자 하는 대상의 실제 이메일 주소와 유사한 이메일 주소를 생성하고, 스피어피싱 메시지와 같은 악의적 컨텐츠를 담은 도메인을 생성

- 북한 사이버 행위자들의 특징
> 초기 소통은 종종 악성 링크나 첨부파일 없이 이루어지며, 이후 공격을 개시하기 위한 악성 링크 및 문서가 첨부
> 어색한 영어 문장과 문법, 북한 어휘, 정상 도메인과 유사한 도메인 등의 특징
기타 - 김수키는 공격 대상의 관심사에 맞추어 주제를 조정하고, 북한 업무 관계자들 사이에서 논의될만한 현안들을 반영하여 내용을 업데이트할 것

- 국가사이버안보센터 > 사이버위협 > 보안권고문 > 北 김수키 해킹조직 관련 韓美 합동 사이버보안 권고

 

보안뉴스

 

북한 해킹그룹 ‘김수키’, 세계 최초 한국정부 대북 독자 제재 대상 지정

우리 정부는 북한 해킹그룹 ‘김수키(Kimsuky)’를 세계 최초로 대북 독자 제재 대상으로 지정했다. 앞서 한국과 미국 양국은 대표적인 북한 해킹조직으로서 전 세계를 대상으로 정보·기술을 탈

www.boannews.com

 

한미, 北 해킹조직 '김수키' 보안권고문 발표...정부, '김수키' 제재

한미 양국이 북한 정찰총국 산하 해킹 조직으로 전 세계를 대상으로 10여 년간 정보·기술을 탈취해온 '김수키'에 대한 권고문을 발표하고, 우리 정부는 '김수키'를 세계 최초로 대북 독자 제재

n.news.naver.com

'보안뉴스' 카테고리의 다른 글

PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만  (0) 2023.06.06
과기정통부, 소프트웨어(SW) 공급망 공격 대응방안 마련한다!  (0) 2023.06.04
구글이 만든 새 최상위 도메인 이름, 보안 업계 비판의 소리 점점 커져  (0) 2023.05.26
[단독] 알라딘 e북 1백만권 유출? 텔레그램에서 샘플 공유 중 외 2건  (0) 2023.05.22
채널톡 사건으로 불거진 개인정보 무단 공유 논란, 동의 제도 개선으로 해결될까  (0) 2023.05.22
침해 사고 정보
일자 2021/06/05 ~ 2021/06/11
침해 정보 - 환자정보: 병원등록번호, 성명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사결과
- 직원정보: 사번, 성명, 주민번호, 거주지연락처, 연락처, 이메일, 근무부서정보, 직급연차정보, 임용퇴직정보, 휴복직정보, 자격면허정보 등
특징 파일 업로드 취약점을 이용한 웹쉘 업로드로
피해크기 - 약 83만명의 개인정보
> 환자 81만여명
> 전·현직 직원 1만7000여명 
침해 사고 분석
경위 21.05 ~ 21.06 국내·외에 소재한 서버 7대를 장악해 공격 기반 마련
> 국내 4대·해외 3대

② 웹쉘 업로드
> 내부망에서 사용하기 위한 계정 생성
> ID/PW : default/다치지 말라

③ 공유폴더와 연결된 서울대병원 내부망에 침입

④ 병리검사 서버에서 개인정보 탈취
> 81만명의 진료정보를 탈취

⑤ 내부망 전자사보DB에서 개인정보 탈취
> 1만 7000여명의 직원정보 탈취
> 이중 2000명의 정보는 실제 유출된 것으로 확인
원인 ① 파일 업로드가 가능한 병원 내부망의 보안 취약점을 활용
> 웹서버에 명령을 실행해 관리자 권한을 획득할 수 있는 웹쉘이 필터링 되지 않고 업로드 됨
조치 ① 21.07.06 서울대병원 침해 사실 최초 인지 및 공지 게시
- 교육부/보건복지부/개인정보보호위원회/사이버수사대 등에 신고후 조사를 진행
- 서울대병원의 후속조치
> 해당 IP 및 접속 경로 차단
> 서비스 분리
> 취약점 점검 및 보완조치
> 모니터링 강화
> 사용자 PC 비밀번호 변경
> 개인정보보호위원회 등 관련 유관기관 신고
> 병원에 등록된 휴대전화번호로 개인정보 유출 사실 개별 연락 수행

② 23.05.10 경찰청 발표
- 피해기관에 침입 및 정보 유출 수법과 재발 방지를 위한 보안 권고사항을 설명
- 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공
> 국가 배후의 조직적 사이버 공격에 대해 치안 역량을 총동원하여 적극적으로 대응
> 관계기관 정보공유 및 협업을 통해 추가적인 피해를 방지
> 사이버 안보를 굳건히 지키기 위해 노력할 계획

- 경찰
> 개인정보보호위원회 의결 결과에 따라 병원 개인정보 보호책임자 입건 여부 검토 예정

③ 23.05.10 개인정보보호위원회
- 전체회의를 통해 서울대학교병원에 과징금 7,475만원 부과 의결
> 서울대병원이 이미 널리 알려진 해킹공격(웹쉘)을 탐지하고, 방어할 관리적·기술적 조치가 미비했다고 판단
> 공공기관 최초로 과징금을 부과
기타 ① 기존 북한발로 확인된 다수 사건과 비교 결과 해당 사건 또한 북한발(김수키, Kimsuky)로 확인
- 기존 사례와 동일한 사항
> 공격 근원지 IP, IP 주소 세탁 기법: 과거 북한 해킹 조직이 사용했던 IP 포함
> 인터넷 사이트 가입정보, 시스템 침입·관리 수법: 해킹용 서버의 사용자 이름·이메일이 과거 북한 해킹조직이 사용한 정보
> 북한어휘 사용: 내부망에 생성한 계정의 비밀번호가 한글 자판으로 '다치지 말라'

② 이승운 경찰청 사이버테러수사대장
- 해킹 조직이 병리검사가 저장됐던 서버를 해킹
- 고위 인사의 개인정보를 빼내기 위한 목적으로 추정

③ 남석 개인정보위 조사조정국장
> 공공기관의 경우 다량의 개인정보를 처리
> 작은 위반행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요

④ 의료 분야 외 다른 분야 또한 주요 정보통신망에 대한 침입 시도가 지속될 것으로 예상
- 최신 보안 업데이트 적용
- 불법적인 접속시도에 대한 접근통제
- 개인정보를 포함한 중요 전산 자료 암호화 등 보안 시스템과 보안정책 강화 권고

 

'침해사고 > 개인정보' 카테고리의 다른 글

유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
빗썸 개인정보 유출  (0) 2022.08.24

+ Recent posts

티스토리툴바