원격 템플릿 주입 기술 사용…‘Paypal’ 이름의 계정에서 수정 확인
이스트시큐리티 ESRC, 북한 정찰총국 배후에 있는 APT 그룹 ‘코니’ 소행 추정
[보안뉴스 김영명 기자] 국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격이 발견돼 주의가 필요하다. 이번에 발견된 공격 파일은 워드 문서(.docx) 파일로, 최근 공격자들이 자주 사용하는 원격 템플릿 주입(Remote Template Injection) 기술을 사용했다.
![[보안뉴스 / 12.11.] 한국인 개인정보 담긴 파일 이용한 APT 공격 포착... 北 ‘코니’ 소행 추정](http://www.boannews.com/media/upFiles2/2022/12/705954958_7862.jpg)
▲악성 워드 파일의 모습[이미지=ESRC]
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번에 발견된 문서 파일은 ‘Paypal’ 이름의 계정에서 지난 6일 19시 26분경 수정된 것으로 확인됐다. 이 문서는 원격 템플릿 주입 기술을 사용해 ‘k22012.c1[.]biz/paypal.dotm’에서 악성 매크로가 포함된 dotm 확장자의 템플릿 파일을 자동으로 다운로드하고 실행한다.
![[보안뉴스 / 12.11.] 한국인 개인정보 담긴 파일 이용한 APT 공격 포착... 北 ‘코니’ 소행 추정](http://www.boannews.com/media/upFiles2/2022/12/705954958_1722.jpg)
▲자동으로 다운로드 되는 dotm 파일[이미지=ESRC]
사용자가 모르는 상태에서 ‘콘텐츠 사용’ 버튼을 눌러 매크로 기능을 활성화하면, 사용자에게는 다음과 같은 파일이 보이며 백그라운드에서는 dotm 내 악성 매크로가 활성화된다.
![[보안뉴스 / 12.11.] 한국인 개인정보 담긴 파일 이용한 APT 공격 포착... 北 ‘코니’ 소행 추정](http://www.boannews.com/media/upFiles2/2022/12/705954958_6863.jpg)
▲매크로 실행 후 보여지는 워드파일[이미지=ESRC]
paypal.dotm 파일 내부에는 문서 폰트를 검은색으로 변경하고, ‘5645780.c1.biz’에서 ‘.cab’ 확장자의 압축된 추가 페이로드를 다운로드한다. 이후 추가로 내려받은 파일의 압축을 해제하면 그 안에는 ‘check.bat’를 실행하는 코드가 포함돼 있다.
![[보안뉴스 / 12.11.] 한국인 개인정보 담긴 파일 이용한 APT 공격 포착... 北 ‘코니’ 소행 추정](http://www.boannews.com/media/upFiles2/2022/12/705954958_10000.jpg)
▲paypal.dotm 내 매크로 코드(좌)와 C&C에서 다운받은 cab 파일 내용(우)[이미지=ESRC]
‘check.bat’ 코드에는 △관리자 권한 확인 △OS Bit에 따라 각각 wpnprv32/64.dll 실행 등의 명령어가 포함돼 있다. wpnprv32/64.dll 모듈은 UAC Bypass 기능을 가진 권한상승 모듈로 check.bat을 통해 관리자 권한을 확인한다. 만일 현재 사용자가 ‘관리자’라면 trap.bat를 바로 실행하며, ‘사용자’라면 wpnprv32/64.dll 모듈을 통해 권한을 상승시킨 후, 관리자 권한으로 ‘trap.bat’를 배치 스크립트를 추가로 실행한다.
UAC는 사용자 계정 컨트롤(User Account Control)로 윈도에서 제공하는 보안기능이며, 권한이 없는 프로그램이 바로 실행되지 않도록 사용자에게 실행 여부를 묻는다. 악성코드들은 레지스트리 변경 등 다양한 악성행위를 위해 관리자 권한을 필요로 하는 작업을 시도하는데, 이때 사용자가 인지하지 못하도록 UAC Bypass 기법을 사용한다.
![[보안뉴스 / 12.11.] 한국인 개인정보 담긴 파일 이용한 APT 공격 포착... 北 ‘코니’ 소행 추정](http://www.boannews.com/media/upFiles2/2022/12/705954958_8767.jpg)
▲check.bat 배치 스크립트 코드[이미지=ESRC]
관리자 권한으로 실행되는 ‘trap.bat’에서는 윈도 폴더에 OS 비트별로 ‘rdssvc.dll’, ‘rdssvc.dat’ 이름으로 복사하고 서비스로 실행한다. 최종적으로 실행되는 ‘rdssvc.dll’ 페이로드는 C&C(4895750.c1.biz)와 통신을 통해 PC 정보 업로드와 명령제어 기능을 수행하게 된다.
![[보안뉴스 / 12.11.] 한국인 개인정보 담긴 파일 이용한 APT 공격 포착... 北 ‘코니’ 소행 추정](http://www.boannews.com/media/upFiles2/2022/12/705954958_7775.jpg)
▲페이로드 코드 일부(좌)와 페이로드 내 문자열 복호화 결과 화면(우)[이미지=ESRC]
ESRC는 여러 지표들을 분석한 결과, 이번 공격은 북한 정찰총국이 배후에 있는 코니(Konni) 조직의 소행으로 결론지었다고 밝혔다.
ESRC 관계자는 “본문 텍스트 색상을 변경, 사용자 호기심을 유발해 매크로 실행을 유도하는 방식은 이미 코니 조직이 오래전부터 즐겨 사용하는 공격 방식”이라며 “wpnprv32/64.dll 모듈을 이용한 UAC Bypass 기법도 최근 코니의 공격에서 발견된 공격기법 중 하나”라고 말했다. 이어 “코니는 2017년 Cisco Talos의 보고서에서 악성코드 Konni로 처음 공개됐으며, 이후 보안업계에서 점차 APT 그룹으로 인식되며 APT 그룹명으로 사용되고 있다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 12.11.] 한국인 개인정보 담긴 파일 이용한 APT 공격 포착... 北 ‘코니’ 소행 추정](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
