요약 - 국정원, 지난해 하반기부터 최근까지 북한이 사이버 공격에 집중 정황 포착
- 악성코드 사용을 최소화하고, LotL(Living off the Land) 기법 주로 사용
내용 - 국정원, 지난해 하반기부터 북한 국내 반도체 장비업체 대상 사이버 공격에 집중
> 서버가 인터넷에 연결되어 취약점이 노출된 업체들을 공략
> 문서 등 자료관리에 사용되는 해당 업체의 업무용 서버들이 표적
> ‘LotL(Living off the Land)’ 기법을 주로 구사
> 서버 내 설치된 정상 프로그램을 활용하여 공격하는 기법

- 형상관리서버와 보안정책서버를 해킹
> 제품 설계도면과 설비 현장사진 등 탈취 (서로 다른 반돋체 기업)
> 피해업체에 관련 사실을 통보하고 보안대책 수립을 지원
> 내 주요 반도체 업체에도 위협정보를 제공해 자체 보안점검 권고

- 인터넷 노출 서버 대상
> 보안 업데이트와 접근 제어를 실시
> 정기적인 관리자 인증강화 등 계정관리에 만전 당부
기타 - 대북제재로 인한 반도체 조달 어려움 + 무기 개발에 따른 수요 증가 => 반도체 자체 생산 목적의 해킹

- 최근 북한의 사이버 공격
> ‘컴파일된 HTML 도움말 파일(.chm)’과 ‘바로가기(.lnk)’를 이용
> 파일 형식을 악용한 공격에 대응해 EDR 솔루션 탐지 등으로 보안을 강화 당부

 

보안뉴스

 

北 , 국내 반도체 기업 해킹으로 설계도면과 현장사진 훔쳐갔다

국내 반도체 장비업체를 노린 북한의 사이버 공격이 포착되고 있어 반도체 기업 및 관련기관의 주의가 요구된다. 국가정보원(이하 국정원) 측은 “지난해 하반기부터 최근까지 북한이 사이버

www.boannews.com

 

NIS 국가정보원

대한민국 국가정보원 공식 홈페이지

www.nis.go.kr

'보안뉴스' 카테고리의 다른 글

회사의 보안실태와 취약점 점검 시 꼭 필요한 건 ‘소셜 엔지니어링’ 감사  (0) 2024.03.31
현재 보안 담당자들이 가장 신경 써야 할 평가 항목, MTTR  (0) 2024.03.04
한국·독일 정보기관, 북한의 방산기술 사이버위협에 경고 외 3건  (0) 2024.02.21
신원 미상 해킹그룹, 대민 서비스 계정 1만 3,000여개 다크웹에 유출 외 1건  (0) 2024.02.05
국내 웹사이트 무차별 공격 중인 중국 해커, 1만개 이상 IP 주소 텔레그램 공개 외 5건  (0) 2024.01.30

1. 개요

- 2023.03.21 Zscaler사에 의해 북한 해킹 그룹 APT37(ScarCruft, Temp.Reaper)이 사용중인 Github 저장소가 발견

- 저장소에는 APT37 그룹에서 다양한 분야의 기업, 기관을 공격 하기위해 사용하는 파일들이 다수 존재

- CHM, HTA, HWP, MS Excel Add-in XLL, Macro-Based MS Office 등 공격 초기에 사용되는 피싱용 파일이 확인

 

2. 주요 내용

2.1 CHM 파일

- 악성 HTA 파일을 다운로드하는 CHM 파일 Decoy 파일압축한 파일 이용

HTA 파일 (HTML Application)
> 인터넷 브라우저 보안 모델의 제약 없이 실행되며,  "완전히 신뢰할 수 있는" 응용 프로그램으로 실행
> 따라서, 웹 브라우저의 보안을 우회하기 때문에, 공격에 자주 악용됨

CHM 파일 (Compiled HTML Help)
> 컴파일된 HTML 도움말 파일 형식
> 소프트웨어 응용 프로그램에 대한 온라인 도움말, 교육 가이드, 대화형 책 등에 이용

Decoy 파일
> 사용자들을 속이기위한 정상 파일로 위장한 악성 파

 

- Decoy 파일비밀번호가 설정되어 있으며, 해당 비밀번호CHM 파일 실행 시 확인 됨

> CHM 파일에는 C2 URL이 저장되어 있어, 실행 시 Mshta.exe를 통해 해당 URL로 접속

> 최종적으로 Chinotto PowerShell-based 백도어 설치

mshta.exe
> Microsoft HTML 응용 프로그램(HTA)을 실행하는 유틸리티
> mshta.exe를 활용해 파일 내 인라인 스크립트로 mshta.exe에 의해 실행될 수 있음

 

[사진 1] CHM 파일 내 비밀번호 및 악성 URL(C2)

2.2 LNK 파일

- LNK 파일의 경우 국내 기업의 로그인 페이지로 위장한 HTML 파일이 RAR로 압축되어 있음

> "html.lnk" 및 "pdf.lnk"와 같이 이중 확장자를 사용

> Mshta.exe를 통해 C2로 접속하여 Chinotto PowerShell-based 백도어 설치

LNK 파일 (Link)
> 윈도우 운영체제에서 사용되는 바로가기 파일

 

- 공격에 사용된 LNK 파일 분석 결과 동일한 가상 머신을 재사용한 것으로 확인됨

> 가상 머신의 Mac 주소 00:0c:29:41:1b:1c로 확인

[사진 2] LECmd를 사용하여 추출한 LNK 시스템 세부 정보

 

2.3 Macro-Based MS Office

- MS Office 파일에 내장된 매크로를 통해 MSHTA를 실행하고, Chinotto PowerShell-based 백도어를 다운

[사진 3] MSHTA를 실행하는 VBA 스크립트

2.4 OLE 개체가 포함된 HWP 파일

- Chinotto PowerShell-based 백도어를 유포하기 위해 OLE 개체 악용

> OLE 개체는 악성 PE 페이로드를 포함하며, 해당 페이로드를 통해 C2 접속 및 Chinotto PowerShell-based 백도어 다운

OLE (Object Linking & Embedding)
> 응용프로그램에서 다른 응용프로그램의 객체를 포함 또는 참조할 수 있게 해주는 기술
> 문서에 다양한 종류의 미디어 및 데이터를 쉽게 삽입할 수 있음

 

[사진 3] MSHTA 실행 및 백도어 다운로드 스크립트

2.5 MS Excel Add-in XLL

- 현재까지 APT37 그룹이 사용하는 방법 외 새로운 공격 방식 MS Excel Add-in 방식이 확인

> Add-in은 XLL 파일로, MS Excel 응용프로그램에서 추가 기능으로 동작하는 DLL

> Excel 응용프로그램과 통신을 위한 다양한 콜백함수(ex. xlAutoOpen())가 포함

- Office Add-ins platform
> Office 응용 프로그램을 확장하고 Office 문서의 콘텐츠와 상호 작용하는 솔루션을 구축할 수 있음
> HTML, CSS 및 JavaScript를 사용하여 MS Office를 확장하고 상호 작용할 수 있음

- 콜백함수
> 특정 이벤트에 의해 호출되는 함수

 

- 동작 방식은 다음과 같음

① 문자열 'EXCEL'을 통해 리소스 섹션에 저장된 Decoy 파일을 추출 및 저장

ex. C:\programdata\20230315_세종지원[.]xls

② XLS 파일에 내장된 URL로  MSHTA를 사용해  Chinotto PowerShell-based 백도어를 포함한 HTA 파일 다운

[사진 4] 악성 MS Office Excel 추가 기능의 xlAutoOpen() 서브루틴

3. 대응방안

① 불분명한 출처의 파일 등 실행 금지/주의 등 일반적인 보안 상식 준수

② "4. 참조" 내 확인되는 침해지표 보안 장비 등록 및 모니터링

 

4. 참조

 

The Unintentional Leak: A glimpse into the attack vectors of APT37 | Zscaler

An operational security failure by the North Korean threat actor - APT37, led to the discovery of many previously unknown tools and techniques used by them

www.zscaler.com

'취약점 > Social Engineering' 카테고리의 다른 글

국정원, 국내 '포털사이트' 사칭한 北 해킹공격 주의 촉구  (1) 2023.05.26
불가능한 이동(Impossible Travel) 경고를 우회하는 BEC 공격  (0) 2023.05.24
Browser in the Browser (BitB)  (0) 2023.04.20
랜섬웨어 그룹 사칭 피싱메일  (0) 2023.04.03
심 스와핑 (SIM Swapping)  (0) 2023.02.21

+ Recent posts

티스토리툴바