1. 개요

- 23.05.17 지니언스 시큐리티 센터(이하 GSC)는 북한연계 해킹 그룹 APT37 의 새로운 사이버 위협 활동을 발견

> 대북 분야 주요 인사들은 북한연계 해킹 그룹의 사이버 위협으로 부터의 나름의 전략으로 맥북 사용을 선호

- 공격 대상의 비밀번호 탈취를 위해 피싱 공격과 정보 수집 수행 후 해당 과정에서 확인된 웹 브라우저 및 OS 정보를 활용해 MacOS 기반 악성파일 공격을 수행

> MacOS 공격은 대표적으로 정상 서비스로 위장한 솔루션, 불법 소프트웨어 자료실, MS Word 문서 메크로 등

> 해당 사례의 경우 이메일 본문 내 MacOS 용 ZIP 파일 다운로드 링크를 포함하여 클릭을 유도하는 스피어 피싱

※ MacOS 이용자의 일반적인 경험과 확장자 숨긴 조건, 아이콘만으로 파일 유형을 판단해 접근하는 맹점을 이용

 

2. 주요내용

2.1 피싱 메일

- 공격자는 고려대 일민국제관계연구원에서 운영하는 온드림 글로벌 아카데미 담당교수를 사칭

- 북한 인권 제도 및 실태 주제의 특강을 요청하는 메일 발송

> 이메일 제목 예시: [특강 의뢰] 6.30(금) 고려대 일민국제관계연구원 - 온드림 글로벌 아카데미 등

> 고려대 일민국제관계연구원은 공식 사이트를 통해 "[알림] 연구원 직원 사칭 사이버공격(스피어피싱) 메일 주의" 게시

 

- 강의 의뢰에 대한 수락 의사를 회신할 경우 악성 링크가 포함된 안내 메일 발송

> 보안 메일 보기 버튼 클릭 유도구글 Gmail 계정 정보 탈취를 시도 

> 비밀번호 탈취에 실패하더라도 User-Agent 값으로 대상자의 OS와 웹 브라우저를 식별 가능

※ 관련 정보는 환경에 따른 우회 및 가용성, 무결성을 손상시키기 위한 맞춤형 공격을 설계하는데 활용

 

- R2P 국제회의 진행자료 파일로 위장 및 북한 인권 운동 홍보에 활용해 달라는 내용으로 첨부자료 열람을 유도

> 첨부자료명: '제 6 회 R2P 국제회의 진행자료.zip'

 

[사진 1] 공격 과정 요약

 

2.2 악성 동작

- '제 6 회 R2P 국제회의 진행자료.zip' 파일은 6개의 파일이 존재

> ‘제 6 회 R2P 국제회의.app’ 맥용 응용프로그램(번들)과 미끼용 JPG 사진 파일 5 개

※ 번들: 실행 코드와 해당 코드에 사용되는 리소스를 포함하는 표준화된 계층 구조를 가진 디렉토리

 

[사진 2] 제6회 R2P 국제회의.zip 압축 해제

 

- 일반적인 MacOS 환경에서 '모든 파일 확장자 보기' 기능이 해제 되어있어 아이콘만으로 파일 유형을 판단하도록 유도

> JPG 파일의 경우 확장자가 기본 설정에서 보이지만, APP 확장자는 보이지 않음

 

- 해당 번들의 패키지 내용을 보면 리소스내 ‘AppIcon.icns’ 애플 아이콘 이미지가 HWP 문서로 지정

> 정상 ‘제 6 회 R2P 국제회의.hwp’ 문서를 내부에 포함해 악성 파일이 실행될 때 함께 보여주는 용도로 사용

 

[사진 3] 제 6 회 R2P 국제회의.app 내용

2.2.1 Image 파일

- 파일 내부에는 curl 명령이 삽입되어 있어 C2 서버에서 파일을 다운로드하여 실행

> 삼성 관련 도메인으로 위장하고 있으며, 현재는 민관 협력을 통해 국내 접속을 차단한 상태

> ‘pathForResource:ofType:’ 함수를 통해 번들 내부 리소스 영역에 존재하는 ‘제 6 회 R2P 국제회의.hwp’ 정상 문서를 실행하여 의심 최소화

 

[사진 4] Image 파일 내 curl 스크립트

① curl

- samsunggalaxynote[.]com에서 whatnew 파일을 tmp 경로에 ‘com.apple.auto_update’ 이름으로 다운로드해 저장

옵션 설명
-s 에러가 발생가 있더라도 출력하지 않음
-f HTTP 오류에 대한 출력이 없는 Fail fast
-L 서버에서 HTTP 301 이나 HTTP 302 응답이 왔을 경우 redirection URL로 이동
-o 다운로드한 데이터의 저장 위치 지정

 

② xattr

- MacOS에서 파일이나 디렉터리에 속성 내용을 관리하는 명령어

- 다운로드 경로 등의 정보를 제거

옵션 설명
-c 확장속성(Extended Attributes) 전체 삭제

 

③ chmod

옵션 설명
+x 파일 실행 권한 부여

 

④ rm

옵션 설명
-r 하위 파일까지 모두 삭제
-f 삭제할 파일이나 디렉터리가 존재하지 않더라도 강제 삭제

 

2.2.2 com.apple.auto_update 파일

- Image 파일과 동일한 C2 서버로 접근해 ‘singlework’를 다운로드하여 '.loginwindow'로 저장

> ‘/Users/%@/Library/LaunchAgents’ 경로에 '.com.apple.windowserver.plist' 파일을 숨김속성으로 생성

> RunAtLoad(로드시 실행), KeepAlive(실행 상태유지) 오브젝트 키 옵션을 활성화(true)

> ‘launchctl remove com.google.keystone.xpc.server’ 명령을 수행하여, 구글 크롬 관련 파일 삭제를 시도

 

[사진 5] com.apple.auto_update 내부 문자열 화면

2.2.3 .loginwindow 파일

- 앞서 확인되었던 동일한 C2와 통신을 수행

> Temporary Item 경로에 현재 날짜와 시간, 프로세스 리스트, 이용자 정보, 아이피 주소와 네트워크 구성 등 다양한 시스템 정보(System Info)를 수집 및 텍스트 파일로 저장해 C2 서버로 전송을 시도

> ‘us’ 파일을 임시폴더(tmp) 경로에 ‘mdworker’ 파일로 다운로드 후 실행하여 추가 명령을 진행

 

[사진 6] .loginwindow 파일 내용

3. 이전 사례와의 유사도

- 과거 확인된 C2 주소와 동일한 C2 주소 사용

- 위장 파일에 삽입된 명령의 유사함

- 정보 탈취 대상 목록 파일의 유사함

 

4. 악성파일 제작 도구 노출

- C2 서버를 통해 바로가기(LNK) 악성파일 제작 도구가 노출

> MFC(Microsoft Foundation Class Library) 기반으로 제작
> 23.03.24 09:52 제작되어 현재까지 사용 중
> PDB 경로: C:\Users\JJJ\Desktop\tmp\MyEWork_Auto\Debug\MyEWork_Auto.pdb

 

[ 사진 7] LNK 악성파일 자동화 제작 도구

5. 참고

[1] https://www.genians.co.kr/blog/threat_intelligence_report_macos
[2] https://n.news.naver.com/article/005/0001617760?cds=news_my_20s

'취약점 > 기타' 카테고리의 다른 글

국정원 사이버 안보 현안 관련 간담회 내용 정리  (0) 2023.07.20
크리덴셜 스터핑(Credential Stuffing)  (0) 2023.07.15
공용 USB 포트 사용 금지와 USB 데이터 차단기  (0) 2023.06.19
원격 엑세스 소프트웨어 보안 가이드 발표  (0) 2023.06.17
국방모바일보안 앱 보안 취약점  (2) 2023.06.07
요약 - 북한 배후 해킹그룹의 사회공학적 기법을 악용한 공격에 대한 경각심을 높이기 위해 한미 합동 보안권고문 발표
- 대북정책 그룹과 신뢰할만한 연관성을 가진 실존 인물들을 사칭하여 스피어피싱 공격을 수행
내용 - 북한 사이버 행위자들은 악의적 컴퓨터 네트워크 탈취(CNE)를 위해 많은 경우 사회공학 기법을 사용
> 김수키는 스피어피싱을 공격 개시 및 공격 대상의 기기와 네트워크에 대한 접근 확보를 위한 주요 수단들 중 하나로 사용
> 김수키는 사회공학 기법들을 계속해서 발전시키면서 자신들이 자행하는 스피어피싱 공격을 식별하기 더욱 어렵도록 만듦

- 김수키 조직의 스피어피싱 공격은 방대한 사전조사 및 준비를 거쳐 시작
> 가치있는 대상을 식별하기 위해 종종 오픈소스 정보를 활용하고, 더욱 현실적이고 매력적으로 보일 만한 온라인 페르소나를 맞춤 제작
> 사칭하고자 하는 대상의 실제 이메일 주소와 유사한 이메일 주소를 생성하고, 스피어피싱 메시지와 같은 악의적 컨텐츠를 담은 도메인을 생성

- 북한 사이버 행위자들의 특징
> 초기 소통은 종종 악성 링크나 첨부파일 없이 이루어지며, 이후 공격을 개시하기 위한 악성 링크 및 문서가 첨부
> 어색한 영어 문장과 문법, 북한 어휘, 정상 도메인과 유사한 도메인 등의 특징
기타 - 김수키는 공격 대상의 관심사에 맞추어 주제를 조정하고, 북한 업무 관계자들 사이에서 논의될만한 현안들을 반영하여 내용을 업데이트할 것

- 국가사이버안보센터 > 사이버위협 > 보안권고문 > 北 김수키 해킹조직 관련 韓美 합동 사이버보안 권고

 

보안뉴스

 

북한 해킹그룹 ‘김수키’, 세계 최초 한국정부 대북 독자 제재 대상 지정

우리 정부는 북한 해킹그룹 ‘김수키(Kimsuky)’를 세계 최초로 대북 독자 제재 대상으로 지정했다. 앞서 한국과 미국 양국은 대표적인 북한 해킹조직으로서 전 세계를 대상으로 정보·기술을 탈

www.boannews.com

 

한미, 北 해킹조직 '김수키' 보안권고문 발표...정부, '김수키' 제재

한미 양국이 북한 정찰총국 산하 해킹 조직으로 전 세계를 대상으로 10여 년간 정보·기술을 탈취해온 '김수키'에 대한 권고문을 발표하고, 우리 정부는 '김수키'를 세계 최초로 대북 독자 제재

n.news.naver.com

'보안뉴스' 카테고리의 다른 글

PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만  (0) 2023.06.06
과기정통부, 소프트웨어(SW) 공급망 공격 대응방안 마련한다!  (0) 2023.06.04
구글이 만든 새 최상위 도메인 이름, 보안 업계 비판의 소리 점점 커져  (0) 2023.05.26
[단독] 알라딘 e북 1백만권 유출? 텔레그램에서 샘플 공유 중 외 2건  (0) 2023.05.22
채널톡 사건으로 불거진 개인정보 무단 공유 논란, 동의 제도 개선으로 해결될까  (0) 2023.05.22
침해 사고 정보
일자 2017/06/30
침해 정보 개인정보_스피어피싱 (이름, 이메일, 전화번호, 거래건수, 거래량, 거래금액)
개인정보_사전대입공격 (홈페이지 ID, 패스워드)
특징 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱
피해크기 3만명
침해 사고 분석
경위 해커는 빗썸 직원 채용기간 중 A씨에게 스피어피싱 메일 발송
* 스피어피싱: 특정 대상이나 기업을 상대로 정상적인 메일로 가장하여 악성코드를 실행하도록 하는 공격 유형
 
② 해당 메일에는 원격제어형 악성코드가 포함되어 있었으며, 이를 실행한 A씨의 PC가 악성코드에 감염됨
 
해커는 A씨가 B씨로부터 이메일로 전송받아 저장 중이던 개인정보파일(2017년 회원관리 정책) 등 다수의 파일을 외부로 유출
 
해커는 유출한 파일을 이용해 사전대입공격을 시도, 무단 출금을 시도한 것으로 판단됨
* 사전대입공격: 공격자가 미리 준비한 ID/PW를 하나씩 모두 대입하는 공격 유형
원인 방통위와 KISA의 현장조사 결과 하기 사항을 소홀 하였으며, 위반한 것으로 결론
- 개인정보처리시스템에 접속한 IP등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점
- 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장 한 점
- 백신 소프트웨어 업데이트를 실시하지 않은 점 등 다수 위반
조치 ① 유출된 파일과, 무단 출금 사고로 민원을 제시한 사용자의 접속 기록 조사 결과
   3,434IP에서 약 2백만 번의 사전대입공격을 수행하였으며,
   이 중 4,981개 계정은 로그인 성공, 266개 계정은 로그인 후 출금 로그가 확인됨
 
② 방통위는 규정 미준수로 인한 취약점이 해킹에 직·간접적으로 악용된 점
   해킹으로 인해 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려해
   - 과징금 4,350만원 / 과태료 1,500만원 / 책임자 징계권고
     위반행위 중지 및 재발방지대책 수립 시정 명령 / 시정명령 처분사실 공표 등 처분
 
사용자 A는 빗썸을 상대로 손해배상 청구하였으나, 빗썸에 민사 보상 책임은 없다 판결
- 사용자 로그인 시 메시지로 로그인 알람이 발생하는데, A씨의 행위인지 해커의 행위인지 불확실
- 추가적으로, A씨 본인 내지는 적어도 계정 접속 등의 권한을 위임받은 사람임을 확인하는 절차를 거쳤다고 보는 것이 타당하다는 입장
- A의 정보가 유출된 파일에 포함되어 있을 가능성이 있다 할지라도,
사전대입공격으로 해킹한 4981개의 계정에 A씨의 계정이 있다고 확신할 수 없다
- 빗썸이 개인정보를 유출당한 회원들에게 비밀번호 변경, 출금 제한 조치 등의 적절한 후속조치를 취하였다.

 빗썸은 피해를 입은 사용자에게 1인당 10만원의 보상금 지급
실제 피해를 입은 사용자에게는 전액 보상하겠다고 밝힘
기타 - 빗썸은 개인정보 유출 고객들에게 발송한 이메일에도 유출된 사람들의 개인정보가 담긴 액셀문서를 발송한 것으로 알려져 2차피해가 우려됨.
추가적으로, 누구든지 열람 가능한 페이스트빈에 노출되어있었음.
 
- 한글워드 EPS 취약점을 이용해 악성코드 삽입
EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일
EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공.
악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성.
 
- 빗썸이 위반한 사항
개인정보 보호조치 (접근통제) §28①2, 시행령§15②2, 고시 §4⑤
- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀
- 침입차단시스템 및 침입탐지시스템을 설치·운영하고 있었으나, 시스템에 접속한 IP 주소 재분석 미실시
- ‘17. 4. 26.부터 ‘17. 7. 5.까지 해킹 신고 등이 92건 접수되었음에도 불구하고 사전대입 공격으로 추정되는 시도(약 2백만번)에 대하여 탐지하지 못함.

② 개인정보 보호조치 (암호화) 법 §28①제4호, 시행령§15④제4호, 고시 §6④
-  개인용PC에 이용자개인정보(35,105건)를 암호화하지 않고 저장

③ 개인정보 보호조치 (백신 소프트웨어 설치·운영) 법 §28①제5호, 시행령§15⑤, 고시 §7
- 업무를 처리하는 개인용PC에 설치된 한글 프로그램 등에 대해 백신 소프트웨어 업데이트 미실시

④ 개인정보 보호조치 (기타 보호조치) 법 §28①제6호, 시행령§15, 고시 §9②
- 개인정보가 복사된 외부 저장매체 등을 파기하고, USB 또는 파일서버를 통해 개인정보파일을 전달한 기록 등을 남기지 않음
- 시스템 담당자가 시스템에서 개인정보 파일 생성 시 안전한 관리를 위한 보호조치 소홀

 

- 참고

 

방송통신위원회 누리집 > 알림마당 > 보도자료 상세보기(가상통화 거래사이트 <빗썸> 개인정보

□ 방송통신위원회(위원장 이효성, 이하 ‘방통위‘)는 12월 12일(화) 전체회의를 개최하여 가상통화 거래사이트(빗썸)를 운영하면서 이용자의 개인정보를 유출한 ㈜비티씨코리아닷컴에 대한 조

kcc.go.kr

 

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
페이스북 개인정보 유출  (0) 2022.07.26
카드 3사 개인정보 유출  (0) 2022.07.16

+ Recent posts

티스토리툴바