보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

조총련 홈페이지 해킹 사건 분석해 보니…

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-01-07

2017년 5월 일본 언론은 재일본 조선인 총연합회(이하 조총련) 홈페이지가 해킹 당해 악성코드가 배포되었다고 보도했다. 이 사건에 이용된 악성코드는 2017년 2월 국내에서도 이미 수집된 샘플로, 해당 사건 발생 전후에 일본 외에 한국과 베트남에서도 감염된 사례가 발생하기도 했다. 이 악성코드가 이용된 공격은 어떤 연관성이 있는지, 그리고 어떤 공격 기법이 사용되었는지 자세한 분석 내용을 소개한다.

 

2017년 8월 일본 보안회사인 NTT시큐리티의 보고서에 따르면 조총련 홈페이지뿐만 아니라 일본의 보도기관인 조선통신의 홈페이지도 해킹을 당해 동일한 악성코드가 배포되었다고 한다. 조총련계열에서 운영하는 조선통신은 북한의 국영통신사인 조선중앙통신의 기사를 영문으로 게재하는 웹 사이트를 운영하고 있다.

 

NTT시큐리티에 따르면 공격자는 이들 기관의 홈페이지를 해킹해 인터넷 익스플로러 취약점(CVE-2016-0189) 공격 코드를 숨겨두고 방문자가 해당 웹 사이트에 방문하면 악성코드에 감염되는 방식을 이용했다. 

 

 

[그림 1] 조총련 홈페이지 해킹 기사

  

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 NTT시큐리티의 분석 보고서를 바탕으로 관련 악성코드를 분석하면서 공격자의 추가 활동을 확인했다. 현재까지 확인된 공격은 모두 북한 관련 사이트로, 조총련 홈페이지 해킹이 일회성 사건이 아닌 것으로 보인다.  

 

[표 1] 주요 공격 사례
 

  

[그림 2] 52.78.95.103 서버 연관 악성코드

 

이번 공격에 사용된 악성코드의 최초 변형은 2017년 2월에 발견되었으며 침해 당한 사이트는 미국 내에서 북한 뉴스를 제공하는 사이트이다.

 

 

[그림 3] 7zip 파일 위장

 

공격자는 방문자가 이 사이트에 접속만 해도 악성코드에 감염되는 드라이브-바이-다운로드(Drive-byDownload) 방식을 이용하여 악성코드를 유포했다. 이때 다운로드된 파일은 7zip 파일로 위장했다.

 

해당 파일은 UPX로 패킹되어 있고 언패킹 하면 윈도우 버전 통신 등의 특징적 문자열을 확인 할 수 있다. 

 

[그림 4] 특징적 문자열 

 

2017년 4월 조총련과 조선통신 홈페이지가 해킹 당해 악성코드가 배포된다. 안랩은 해당 악성코드를 2017년 2월에 수집하였다. ASEC의 분석 결과, 악성코드가 사용하는 주소(http://52.78.95.103/a7db98c120710f08ea5604f2bf622ac9.php)는 2017년 2월 15일부터 사용되었음이 확인되었다. 또한 일본, 한국, 베트남에서 감염 보고가 있었다. 이 변형에는 가상환경 검사 기능이 추가되어 분석가나 분석 시스템의 분석을 방해한다.

 

조총련과 조선통신 홈페이지에서 배포된 악성코드는 최종적으로 백도어가 시스템에 감염된다. 백도어 코드도 다운로더와 시작 코드가 비슷하다.

 

2017년 4월과 6월에는 다른 C&C 서버인 54.238.186.73으로 접속하는 변형이 발견된다.

  

[그림 5] 백도어 메인 코드

  

 

[그림 6] 54.238.186.73 접속 악성코드

   

2017년 8월 조총련 홈페이지 해킹에 사용된 C&C 서버에 접속하며 과거 사용된 파일 이름인 util.exe를 가진 악성코드(4fae163b49c4705e4f4816439ba29e77)가 발견된다.

  

[그림 7] 2017년 8월 발견된 다운로더 코드 

 

기존 코드와 다른 변형이 있지만 2017년 4월 공격과 동일하게 서버와 동일 파일 이름을 사용해 동일 공격자로 보인다. 

 

이들 공격의 연관 관계를 정리하면 [그림 8]과 같다. 

 

[그림 8] 조총련 홈페이지 공격 관련 악성코드의 관계도 

 

2017년 8월 중순, 2017년 2월에 해킹 당한 미국 내에서 북한 뉴스를 소개하는 홈페이지에서 새로운 악성코드(d718eaaa52b7bab2022ec03c26537631)가 배포되었다. 이후 일본, 한국, 베트남 등에서 8개의 변형이 확인되었으며 모두 리얼텍(Realtek) 오디오 파일로 가장하고 있다.

  

[그림 9] 리얼텍 파일로 가장한 악성코드

  

일부 변형은 분석 도구 실행 유무와 가상환경 검사 기능이 존재한다. 가상환경 검사 코드는 깃허브(Github)에 공개된 소스코드를 사용했다.

  

[그림 10] 분석 도구와 가상환경 검사 문자열

  

안랩 제품군에서는 Trojan/Win32.Choupa라는 진단명으로 대응하고 있다.

 

조총련 홈페이지를 해킹해 악성코드를 배포한 공격자는 다른 북한과 관련된 사이트 등에 대해서도 공격을 진행했다. 공격자가 북한과 관련된 사이트만 노린 것인지는 확인이 필요하지만 그 경우 북한 정보에 관심이 많은 학자나 언론인을 목표로 했을 수 있다. 이 공격자의 2018년 초 이후 활동은 확인되지 않고 있으며 활동을 중단했는지 또는 현재도 활동하고 있는지 확인되지 않았다. 이번 사례를 통해 다른 나라에서 발생한 사건도 한국과 연관될 수 있다는 것이 확인되었다. 따라서 당장 우리와 상관없어 보이는 외부 보안 사건도 관심을 가지고 지켜볼 필요가 있다.​ 

  • AhnLab 로고
  • 분석연구팀 차민석 수석연구원
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기