라자루스(Lazarus) APT 조직, 텔레그램 메신저로 '진실겜.xls' 카지노 꽁 머니 파일 공격

2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 카지노 꽁 머니 문서 파일을 발견했습니다.

내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다.

며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다.

[표 1] ESRC 자체 모니터링 시스템에서 탐지된 '진실겜.카지노 꽁 머니' 탐지내역

카지노 꽁 머니 문서파일은 'PC용 텔레그램(Telegram Desktop)' 메신저의 다운로드 폴더에서 식별되었으며, 암호화폐와 관련된 사용자를 대상으로 유포된 정황이 존재합니다.

[그림 1] ‘진실겜.xls’ 카지노 꽁 머니 화면

'진실겜.xls'는 인터넷에 있는 오래된 예제용 매크로 코드에 카지노 꽁 머니 코드를 추가했으며, Auto_Open 함수는 문서가 열리면 자동으로 실행하게 지정해둔 키워드입니다.

카지노 꽁 머니 파일 제작자의 목적은 봇(Bot)이며, 오피스 프로그램을 사용할 때 발생하는 보안 경고를 스킵하고 매크로 기능을 허용하면, 악의적인 코드가 작동해 보안위협에 노출됩니다.

엑셀 매크로에서 Auto_Open 명령이 실행하는 'Doc_Data' 함수는 카지노 꽁 머니 파워쉘 스크립트 파일을 생성하고 실행합니다.

즉, 실제 카지노 꽁 머니 행위는 파워쉘에 의해 동작하며, 기존 Shape Changer 인텔리전스 보고서와 유사한 특징을 보입니다.

[그림 2] Auto_Open 함수 코드

[그림 3] Doc_Data 함수

Shape Changer 인텔리전스의 사례에서는 감염자의 OS가 맥인 경우에도 추가 카지노 꽁 머니 파일을 다운로드해 실행되게 했지만 이번 사례에서는 맥 OS 전용 기능은 발견되지 않았습니다.

[그림 4] Operation: Shape Changer 보고서

'진실겜.xls'에서 드롭되어 실행되는 파워쉘 카지노 꽁 머니 파일은 C&C를 제외하고 명령제어 기능을 포함한 서버와 통신할 때의 특징과 코드 모두 동일합니다.

[그림 5] Operation Shape Changer에서의 봇 기능

이번 파워쉘 코드에서 사용된 C&C 목록은 아래와 같습니다. 분석 당시, C&C가 살아있었고, 감염자의 정보 수집 명령만 수행 중인 것으로 확인되었습니다.

[표 2] ‘진실겜.카지노 꽁 머니’ C&C

관련하여 Shape Changer 인텔리전스 보고서는 기존 GhostPuppet 오퍼레이션과 관련성이 있는 것으로 조사되었습니다.

이번 공격에서 사용된 공격 방법이나 도구를 비롯해 공격 대상의 특성을 고려했을 때, 동일한 조직이 연계된 것으로 보입니다.

[그림 6] GhostPuppet, Shape Changer, 진실겜.카지노 꽁 머니의 연관성

연관성이 높은 기존 공격에서도 암호화폐 관련자에게 유포됐던 이력이 있으며, 공격자가 사용하는 카지노 꽁 머니파일의 특징이나 과정의 관련성으로 보아, 이는 특정 조직이나 개인이 목적을 가지고 불특정 다수가 아닌 명확한 대상을 타깃으로 한 공격일 가능성이 높아 보입니다.

분석 당시 C&C와 통신이 가능했고 추가적인 카지노 꽁 머니 파일도 모니터링되었기 때문에 추가적인 피해가 발생할 수 있어, 이메일 혹은 메신저에서 직접적으로 파일을 전송받으면 실행하지 말고, 최소한 백신으로 정밀검사를 하여 PC가 감염되지 않도록 주의하시기 바랍니다.

현재 알약에서는 해당 카지노 꽁 머니파일에 대해 'Trojan.Downloader.카지노 꽁 머니.gen'으로 탐지 중에 있습니다.

추가 분석 정보는 Threat Inside의 인텔리전스 보고서를 통해 제공될 예정입니다.