대북 분야 종사자를 겨냥한 김수키의 ‘Operation Covert Stalker’
올해 11월 초 안랩이 국가 배후의 해커 조직인 김수키(Kimsuky)의 C2 서버 운영 및 관리, 피싱, 악성코드 유포 등 각종 해킹 활동을 약 17개월 동안 추적하고 분석한 내용의 보고서를 발행했다. 이 보고서에 따르면, 김수키는 북한, 정치, 외교, 안보, 국방, 의료, 금융 등 여러 산업군을 해킹해 특정인 또는 조직의 메일 계정과 중요한 자료를 탈취했다. 그 과정에서 김수키의 공격 방식이 은밀하고 집요했다는 점에서 안랩은 이번 작전을 ‘Operation Covert Stalker’로 명명했다. 관련 내용을 간단히 살펴보자.
안랩은 2022 년 4 월 29 일 ‘북한 4.25 열병식 관련 내용의 악성 워드 문서 유포’라는 제목의 게시글을 ASEC 블로그에 공개한 바 있다.
[그림 1] 북한 4.25 열병식 내용으로 위장한 악성코드 분석 정보
최근 확인된 공격은 해당 사례에서의 C2 서버를 활용한 악성 행위, 웹 셸 설치 등과 유사한 패턴을 보인다는 점에서 김수키의 소행인 것으로 추정된다.
김수키는 [그림 2]과 같이 정상 URL로 위장한 피싱과 한글, MS 오피스 문서 파일, 실행 파일, 스크립트, 파워셸(PowerShell), 바로가기, 배치 파일 등 다양한 유형의 악성코드를 메일 본문에 첨부해 전송하는 방식을 사용했다.
[그림 2] 김수키가 대북 지원 담당자에게 발송한 해킹 메일
김수키가 해킹 메일을 발송하는 과정은 [그림 3]과 같이 도식화할 수 있다. 김수키는 취약한 사이트와 윈도우 시스템에 대해 각각 미상의 취약점과 RDP 취약점(CVE-2019-0708)을 악용했다. 취약한 사이트의 경우, 취약점이 미상인 이유는 웹 셸이 업로드된 이유와 관련해 사이트 관리자의 피드백을 받지 못했기 때문이다.
[그림 3] 김수키의 Operation Covert Stalker 작전 개요
김수키가 해킹 대상 시스템에서 수행한 주요 악성 행위는 ▲RDP(CVE-2019-0708) 취약점 악용 ▲C2 서버 관리 ▲자료 보관과 사용이다. Operation Covert Stalker 작전의 핵심을 정리하면, 사이트의 취약점을 악용한 웹 셸을 설치해 C2 서버를 구축하고 운영하는 것, 그리고 윈도우 시스템의 경우, 웹 셸에 접속해 C2 서버를 관리하는 것이다.
보고서에 소개된 김수키의 악성 행위를 요약하면 다음과 같다.
≫ 북한, 정치, 외교, 안보 분야에 종사하는 특정인 또는 조직에 정상 URL로 위장한 피싱 및 악성코드를 첨부한 해킹 메일 발송
≫ 윈도우 시스템은 RDP 취약점(CVE-2019-0708)을, 취약한 사이트는 미상의 취약점을 악용한 해킹 시도
≫ 연결의 지속성 확보를 위한 RDP 접속용 계정 생성, RDP 래퍼(RDP Wrapper), 쿼사 RAT(Quasar RAT), 아미 RAT(Ammy RAT), 애니데스크(AnyDesk), 팀뷰어(TeamViewer) 등 원격 관리 프로그램 추가 설치
≫ 표적 검색, 해킹 메일 발송, RDP 취약점(CVE-2019-0708) 스캐닝, 악성코드 테스트 등 다양한 악성 행위 수행
≫ 블랙빗(BlackBit) 랜섬웨어 감염 후 복구를 위한 비용 지불 유도
≫ 웹 셸(Green Dinosaur, WebadminPHP, 미상 등)을 통한 C2 구축/관리/운영
≫일부 악성코드에 ‘련동’, ‘봉사기’, ‘대면부’ 등 북한식 표현 존재
본 보고서는 Operation Covert Stalker에 대한 안랩의 대응 방안과 더불어, 공격 주체가 김수키로 추정되는 근거를 구체적으로 소개한다. 보다 더 자세한 내용은 보고서 원문에서 확인할 수 있다.
- AhnLab콘텐츠기획팀 서보경 사원