Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

한국 인터넷 사용자를 겨냥한 악성 HWP 문서 취약점 기반 공격 기법이 한층 더 교묘해졌다.

HWP문서 기반 공격코드 '록랫(ROKRAT)'이 지난해말 새 버전으로 등장했다. 록랫은 한글과컴퓨터 한글 워드프로그램과 그 파일포맷 HWP의 기존 취약점(CVE-2013-0808)을 악용한 신종 공격코드(익스플로잇, exploit)다. 시스코시스템즈 위협정보분석조직 탈로스(Talos)가 지난해 처음으로 발견했다. [☞관련기사]

시스코시스템즈 탈로스는 록랫을 만들어 사용한 공격조직이 지난 2016년 하반기부터 2017년까지 수행한 일련의 사이버위협 활동을 추적, 분석해 왔다. 분석 결과 이 공격조직이 6차례에 걸쳐 세계 각지에 HWP 및 마이크로소프트(MS) 오피스 포맷의 악성문서를 동원한 공격활동(캠페인)을 벌였고, 특히 한국어로 작성된 HWP 포맷 악성문서로 국내 사용자를 겨냥한 공격도 수차례 진행했다고 밝혔다.

탈로스는 한국과 세계 각지에 악성문서 공격을 벌인 조직을 '그룹123(Group 123)'이라 명명하고, 지난 16일 공식블로그 포스팅을 통해 그룹123의 과거 활동 이력을 분석한 결과를 제시했다. 더불어 그룹123이 올초 새로운 공격활동을 시작했으며, 여기서 지난해(2017년) 사용한 록랫 익스플로잇의 새 버전을 발견했다고 덧붙였다. [☞탈로스 블로그 원문보기] [☞시스코코리아 번역문 보기]

탈로스는 2016년 하반기부터 최근까지 그룹123의 공격활동을 추적했다. 그룹123 소행으로 식별된 캠페인은 '골든타임(2016년 8월~2017년 3월)', '사악한새해(2016년 11월~2017년 1월)', '행복하십니까(2017년 3월)', '프리밀크(2017년 5월)', '북한인권(2017년 11월)', '2018년 사악한새해(2018년 1월~)' 이렇게 6가지다. 이 가운데 골든타임, 사악한새해, 북한인권, 2018년 사악한새해, 4가지 공격에 악성HWP문서가 쓰였다.

탈로스는 요약문을 통해 "우리는 분석을 통해 다음 6가지 캠페인이 그룹123에 진행됐음을 확신하고 있다"며 "분석 결과에 따르면 골든타임, 사악한새해, 북한인권 캠페인 모두 대한민국 사용자를 특정 대상으로 삼고 있다"고 설명했다. 또 "이 그룹이 활용한 스피어피싱 및 악성문서의 경우, 번역 서비스를 사용하지 않고 한국 현지인이 작성한 것으로 보이는 대단히 구체적인 내용이 포함돼 있었다"고 지적했다.

탈로스가 분석한 그룹123의 악성HWP 문서 기반 공격사례 4가지를 간단히 소개하면 아래와 같다.

■ 골든타임 캠페인

2016년 8월부터 2017년 3월까지 진행된 골든타임 캠페인은 조직내 특정 업무 담당자를 감염시키고자 집중적으로 악성코드를 유포하는 '스피어피싱' 공격으로 분류됐다. 확인된 악성코드는 이를 실행한 수신자의 PC를 감염시키고, 록랫을 내려받는 동작을 수행하게 만들어졌다.

록랫은 이후 운영체제(OS) 버전을 확인하고 소셜네트워크 및 클라우드플랫폼을 통해 공격자와 통신하며 추가 명령을 받는 역할을 했다.

탈로스는 골든타임 캠페인에 서로 다른 종류의 악성HWP 문서를 첨부한 2가지 이메일이 유포됐다고 설명했다. 하나는 연세대학교 '한반도국제포럼' 학술대회 담당자를 사칭해 "표적으로 삼은 담당자를 실존하지 않는 '통일·북한 학술대회' 패널로 합류하도록 유도"했다. 다른 이메일은 자신을 분단 전 한국의 강원도 지역인 '문천' 출신 인물로 소개하며 도움을 호소하는 내용이었다. 모두 유창한 한국어를 구사했다.

탈로스는 두 이메일에 첨부된 악성코드에 대해 "동일한 취약점(CVE-2013-0808)을 활용하며, 이 취약점은 캡슐화한 포스트스크립트(EPS) 형식을 대상으로 한다"고 지적했다. 이어 "록랫을 식별할 수 있는 특징 중 하나는 록랫이 소셜 네트워크 및 클라우드 플랫폼을 사용해 공격자와 통신한다는 점"이라며 "이 변종에서 사용되는 플랫폼은 트위터, 얀덱스, 미디어파이어"라고 밝혔다.

■ 사악한새해 캠페인

2016년 11월부터 2017년 1월까지 진행된 사악한새해 캠페인은 '2017년 北 신년사 분석'이라는 제목을 사용하고 통일부에서 작성된 것처럼 가장한 악성HWP 문서를 첨부한 이메일을 유포하는 활동이었다. 앞서 탈로스가 록랫 익스플로잇을 발견했다고 밝힌 첫 사례다. 탈로스는 "공격 조직은 대한민국 통일부에서 대한민국에 국한된 분석을 제공하는 이메일을 보낸 것으로 가장해 피해자를 속이려 했다"고 설명했다.

탈로스가 파악한 이 가짜 문서의 목적은 사용자가 페이지 아래 임베디드된 링크를 통해 추가 악성문서를 열도록 유도하는 것이었다. 링크는 사용자가 북한의 새해 활동에 관한 세부내용을 알고자 할 때 누르도록 유도하는 성격을 띠었다. 링크를 열면 악성 오브젝트링킹임베디드(OLE) 개체 파일이 실행되고 이로써 감염PC에 추가 악성코드(페이로드)를 가져올 수 있는 명령제어서버와 통신하게 된다.

사악한새해 캠페인의 추가 악성코드 유포처 중 하나는 공공조직인 '한국정부법무공단(KGLS)' 홈페이지였다. 탈로스는 사악한새해 캠페인에서 "공격자는 KGLS의 보안을 침해해 공격을 실행할 신뢰할 수 있는 플랫폼을 확보했다"면서 "이전 캠페인과 다르게 공격자는 기본 록랫 페이로드에서 정찰 단계(reconnaissance phase)를 분리했는데 이 트릭은 탐지를 피하기 위해 사용됐을 가능성이 높다"고 진단했다.

■ 북한인권 캠페인

2017년 11월 진행된 북한인권 캠페인은 또다른 악성HWP 문서 사용 활동이었다. 그룹123은 한국 서울에서 11월 1일 열린 회의와 관련된 정보를 담은 문서를 사용했다. 탈로스는 "일반적인 그룹123 활동과 마찬가지로 이 문서도 완벽한 한국어 텍스트와 방언으로 작성됐으며, 이 점은 해당 조직이 한반도를 기반으로 하고 있음을 시사한다"고 덧붙였다. 작성자는 북한 인권 관련 시민 연대 소속 변호사를 자처했다.

악성HWP 문서는 먼젓번 활동인 사악한새해 캠페인에 쓰인 것처럼 문서에 삽입되는 OLE 개체를 활용해 추가 악성코드를 실행하는 구조로 작성됐다. 이 추가 악성코드는 록랫 실행 유도 수단(드로퍼)이다. 이 드로퍼는 실행되는 동안 한컴오피스의 업데이트 프로그램으로 보이려는 듯한 이름(HncModuleUpdate.exe)의 바이너리파일로 저장됐다. 드로퍼는 악성코드에 쓰일 셸코드를 품은 SBS란 리소스 추출에 쓰였다.

드로퍼 실행 이후 단계에선 기존 록랫처럼 cmd.exe 프로세스가 VirtualAlloc(), writeProcessMemory(), CreateRemoteThread() 등 윈도API를 쓰는 프로세스 주입에 동원됐다. 이후 PE 바이너리 디코딩과 cmd.exe 프로세스 주입 과정으로 변종 록랫이 실행된다. 변종에는 특정 라이브러리가 로드됐는지 확인하는 안티샌드박스 기술, 아무 작업도 하지 않는 명령어(No operation)와 관련된 안티디버깅 기술이 적용됐다.

■ 2018년 사악한새해 캠페인

그룹123은 2018년 1월 2일부터 새해에 맞춘 '2018년 사악한새해' 캠페인을 시작했다. 그룹123은 1년전 사악한새해 캠페인 때처럼 북한 정치지도자 신년사를 분석한 내용을 담은 악성HWP 문서를 동원했고, 작성 주체를 정부부처인 통일부로 사칭했다. 문서는 더 과거 시점부터에 진행된 골든타임 캠페인처럼, EPS 취약점을 사용해 록랫 디코딩을 수행하는 셸코드를 내려받아 실행한다.

탈로스는 "(EPS 취약점을 악용하기 위해) 가짜 이미지를 사용하는 것은 이 그룹의 일반적인 패턴"이라며 "이런 이미지에는 최종 페이로드인 록랫을 디코딩하는 데 사용된 셸코드가 포함돼 있다"고 설명했다. 이어 "이 록랫 변종은 메모리에서 로드되는, 파일리스(fileless) 버전의 록랫"이라고 덧붙였다.

파일리스 악성코드는 일반 백신같은 파일 기반 악성코드 보안툴의 탐지를 회피할 수 있다. 탈로스는 "이런 행동은 그룹123이 탐지를 피하기 위해 지속적으로 (공격기법을) 발전시키고 있음을 보여 준다"고 평했다. 이어 "록랫은 여느때처럼 클라우드제공업체(이번에는 얀덱스, p클라우드, 드롭박스, 박스 활용)를 사용해 오퍼레이터(명령제어서버)와 통신한다"고 덧붙였다.

■ 결론 "그룹123, 주 공격 대상은 한반도"

탈로스에 따르면 그룹123은 워크플로에 한컴오피스 한글 워드프로그램 또는 MS오피스용 공격코드를 포함하고, 페이로드를 여러 단계로 분할해 해당 캠페인을 수정할 수 있다. 침해된 웹서버나 정상 클라우드 기반 플랫폼을 쓰고 HTTPS 통신을 사용해 트래픽 분석을 어렵게 만들 수 있다. 제3자의 보안 환경을 뚫고 스피어피싱 캠페인의 거짓 정보나 가짜 신분을 위조할 수 있고, 최근 파일리스 악성코드도 사용했다.

탈로스는 "그룹123는 한국 대상으로 할 때는 특정 HWP 문서를 사용했다면, 전세계 대상으로는 MS오피스문서를 사용하는 등 일반적인 공격수단으로 전환할 수 있다"며 "이 그룹은 첩보 수집 활동에 참여했고 최종적으로 파괴공격을 시도했다"고 결론내렸다. 또 "이 공격조직은 앞으로도 계속 활발히 활동할 것으로 예상된다"며 "(공격) 대상은 바뀔 수 있지만 지금은 한반도가 주요 대상이라고 판단된다"고 덧붙였다.

■ 경찰이 '북한 소행' 판단한 활동과 유사

1년전쯤 그룹123의 일부 공격활동과 유사한 사건이 2017년 1월 경찰청 사이버안전국 수사결과로 발표된 적이 있다. 발표에 따르면 당시 기준 약 5년 전부터, 북한 소재 '류경동 조직'이 신분을 사칭해, 한국어로 북한과 관련된 주제의 내용을 담은 HWP 등 문서 첨부형 악성메일을 유포해 왔다. 공격 대상은 국내 북한관련 업무를 맡고 있는 공공 및 민간부문 담당자였다. [☞관련기사]

당시 경찰은 2016년 1월 청와대 등 국가기관을 사칭한 악성 이메일 발송사건 발생 이후 1년간 북한의 해킹조직 활동상황을 추적 수사한 결과 "북한이 2012년 5월부터 정부, 연구, 교육기관 등 종사자에게 악성메일을 보낸 사실을 확인했다"고 밝혔다. 그중 한 사례는 탈로스가 파악한 사악한새해 캠페인처럼, 북한 신년사 분석이란 제목의 악성HWP 파일을 동원했다.경찰청 사이버안전국에서 수사후 북한 소행이라 결론내린 류경동 조직의 공격활동에서 유사성이 발견된다는 것만으로, 탈로스의 사악한새해 캠페인 실행주체 또한 북한 소행이라 단정하기는 어렵다. 탈로스는 이번에 사악한새해를 포함한 6가지 공격활동의 주체로 지목한 그룹123에 대해 "상당한 수준의 성숙도를 갖췄으며 한국 지역 관련 지식 또한 보유하고 있다"고만 평가했다.

하지만 탈로스도 지난해 4월 사악한새해 캠페인의 분석 결과를 최초 공개할 땐, 그룹123이 "한국에서 정보를 얻으려 하는 국외 정부 지원 해커 조직"이라고 추정했다. 또 이 공격이 "한국 공공 부문 주체를 대상으로 수행하기 위해 재정적 지원이 원활한 조직에 의해 설계됐을 가능성이 높다"며 "공격에 동원된 기술 가운데 상당수는 앞서 특정 정부 기관에 의해 벌어진 공격 사례에 들어맞는다"고 진단한 바 있다.

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

로임

2018.01.23 16:29
가입일:
총 게시물수: 227
총 댓글수: 1036
한글2010 17년 12월에 패치 나온게 있었는데 공식사이트에도 없고 정보를 찾을 수 가없네요.
profile

프리네

2018.01.23 21:48
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182
정보 감사합니다....
profile

푸른빛유성

2018.01.23 22:07
가입일:
총 게시물수: 0
총 댓글수: 3
정보 감사합니다. 저희회사도 그렇고 기관도 거의 word 쓰는 추세이긴 하더라구요
profile

kungms

2018.01.23 22:21
가입일: 2016:04.03
총 게시물수: 34
총 댓글수: 496
hwp를 공격할 수도 있군요. 알려주셔서 감사합니다
profile

세종님

2018.01.23 23:05
가입일: 2019:06.18
총 게시물수: 5
총 댓글수: 36
좋은정보 감사합니다..hwp까지
profile

꼼팡이

2018.01.23 23:47
가입일: 2016:07.28
총 게시물수: 98
총 댓글수: 317
백신보다 바이러스가 더 진화하니..
profile

얼음동자

2018.01.30 11:15
가입일: 2017:12.22
총 게시물수: 0
총 댓글수: 24
아... 워드에 비해서. 아래아 한글의 편집성은 정말 좋죠..
워드는 표만들고 나면 최악의 편집성을 보여준다는..-_-;
profile

땡글이

2018.03.09 18:15
가입일:
총 게시물수: 1
총 댓글수: 143
감사합니다..
List of Articles

유용정보 경찰 '랜섬웨어 감염되면 '노모어랜섬' 접속하세요' file

경찰청은 PC를 암호화한 뒤 돈을 요구하는 '랜섬웨어'에 감염된 이들을 위해 복구 방법을 안내한다고 24일 밝혔다. 경찰청 사이버안전국은 최근 유럽연합(EU) 경...

  • 등록일: 2017-04-24

494

VIEWS

12

COMMENTED

유용정보 [폭스바겐 인증 취소 그후]평택항 가보니…수입차 2만여대 비바람에 방치

2만여대 '미아차량' 눈 ·비 막는 건 비닐 한 겹 …獨본사 반환도 안돼 인터넷에선 40% 할인설 떠돌아 …회사측 "차량 처리문제 아직 검토중" 지난 주말(18일) 찾은 ...

  • 등록일: 2017-02-21

529

VIEWS

5

COMMENTED

유용정보 aomei partition assistant pro 6.1 무료다운입니다.(만료됨) file

파티션관리 프로그램입니다. aomei partition assistant pro 6.1 정식버전 무료다운입니다.18시간 남았네요 프로모션 개념인것 같네요... 저도 방금 다운받아 설...

  • 등록일: 2017-02-14

843

VIEWS

19

COMMENTED

유용정보 플렉스터, 고성능 게이밍 SSD ‘1+1 이벤트’ 진행

플렉스터 SSD의 공식 수입유통사 컴포인트가 2017년 새해를 맞아 '플렉스터 SSD 1+1 이벤트'를 진행한다고 밝혔다. 이번 이벤트는 PCI익스프레스(PCIe) 기반 고성...

  • 등록일: 2017-01-14

289

VIEWS

2

COMMENTED

유용정보 다운 점퍼 구입 할 때 다운의 양에 집착할 필요가 없다네요

실험 결과 350g짜리 점퍼의 보온력이 140g짜리보다 약간 높긴 했으나 차이는 5% 정도로 미미했답니다. 출처 : SBS 뉴스

  • 등록일: 2016-12-24

345

VIEWS

9

COMMENTED

유용정보 "보안 프로그램 공짜로 내려받다가 악성파일 설치"

보안/해킹 메뉴에 [긴급]으로 같은 내용이 있습니다. [출처 : 아이뉴스24 성지은기자] 이스트소프트는 최근 국내 토렌트 공유 사이트를 통해 외국산 파일 보안 ...

  • 등록일: 2016-12-24

272

VIEWS

1

COMMENTED

유용정보 카스퍼스키랩, '크립트XXX' 랜섬웨어 복호화 도구 무료 배포

'RannohDecryptor'를 이용하여  크립트XXX 랜섬웨어에 의해 암호화돼 확장자가 '.crypt', '.cryp1', 'crypz'로 변경된 파일을 대부분 복구할 수있다고합니다. 백...

  • 등록일: 2016-12-23

253

VIEWS

4

COMMENTED

유용정보 AhnLab Safe Transaction 패치

1. 패치 일정 - 마스터 릴리즈: 2016년 12월 13일 16시 30분 2. 버전 - AhnLab Safe Transaction 1.3.15.5 (Build 749) 3. 주요 패치 내역 - 사용자에 의한 시작 ...

  • 등록일: 2016-12-14

617

VIEWS

16

COMMENTED

유용정보 교보문고 셜록홈즈, 아르센 뤼팽, 에드가 알란 포, 카네기 자기계발, 집중력 혁명 전 40권, 12월 한달 무료 증정

http://m.kyobobook.co.kr/digital/event/eventTemplate.ink?tmplSeq=6294 [YES24 무료대여] 한국인이 꼭 읽어야 할 한국 고전 및 사상 (전100권, 2017년 5월 31...

  • 등록일: 2016-12-05

189

VIEWS

4

COMMENTED

유용정보 새로운 랜섬웨어가 등장 했습니다.

새로운 랜섬웨어가 등장 했습니다. http://www.bodnara.co.kr/bbs/article.html?num=136502 윈도우 사용도 못하게 하는 캥거루 랜섬웨어 라네요. 기사 내용중 '다...

  • 등록일: 2016-12-03

257

VIEWS

16

COMMENTED

유용정보 금융보안 모듈 이용한 사이버 공격 발생 주의! file

인터넷뱅킹 보안 제품 취약점을 이용한 북한발 사이버 공격이 발생했다. 해당 취약점 패치가 아직 이뤄지지 않은 제로데이 공격이다. 당분간 인터넷익스플로러(IE...

  • 등록일: 2016-11-29

150

VIEWS

7

COMMENTED

유용정보 "애플, 아이폰 통화내역 비밀리 수집"

러 업체 "아이클라우드 통해…영상통화도 보관"  (지디넷코리아=김익현 기자)애플은 올초 연방수사국(FBI)의 아이폰 잠금해제 요청에 정면으로 맞서면서 ‘개인정보...

  • 등록일: 2016-11-18

686

VIEWS

2

COMMENTED

유용정보 사물인터넷(IoT) 보안 취약점 신고하면 포상금 최대 500만원

국인터넷진흥원과 미래창조과학부는 사물인터넷(IoT) 보안 취약점을 악용한 공격의 사전 예방을 위해 'IoT 보안 취약점 집중 신고 기간'을 11월 동안 운영한다고 ...

  • 등록일: 2016-11-09

162

VIEWS

2

COMMENTED

유용정보 아이폰에서도 T전화 사용가능하다고 하네요.

드디어 아이폰 용으로 개발이 되었군요 T전화는 정말 자동 녹음이랑 스팸 걸러주는 기능이 최고죠 ㅠㅠ 아이폰 유저들에겐 정말 희소식입니다. 지금 사전등록으...

  • 등록일: 2016-10-21

585

VIEWS

15

COMMENTED

유용정보 진리의 체온계 Braun Thermoscan 7 IRT6520 file

오늘 아침 아이 체온을 재려고 하는데 6년 사용한 브라운 체온계(BRAUN Thermoscan 5 IRT 4520)가 고장 났습니다.ㅜㅜ 급 검색... 요즘은 최신형 Braun Thermosca...

  • 등록일: 2016-10-19

298

VIEWS

8

COMMENTED

유용정보 네이버, '그리스로마신화 인물백과' 오픈

[출처 : 지디넷코리아=안희정 기자] 네이버가 이용자들의 검색어 분석을 바탕으로 선정한 그리스로마신화 속 주요인물 800명에 대한 자세한 정보를 3천 여장의 이...

  • 등록일: 2016-10-12

274

VIEWS

7

COMMENTED

유용정보 [ '20% 요금할인' 혜택 모르는 약정 만료자 '1078만명'…이통3사 '모른척' ]

'20% 요금할인' 혜택 모르는 약정 만료자 '1078만명'…이통3사 '모른척'  국내 이동통신 3사들의 안내 소홀로 20% 요금 할인 혜택을 받지 못하는 2년 약정 만료자...

  • 등록일: 2016-10-05

407

VIEWS

8

COMMENTED

유용정보 [ 애플스토어 가로수길 오픈 현실화 되나…애플, 한국 애플스토어 채용 페이지 개설 ]

애플스토어 가로수길 오픈 현실화 되나…애플, 한국 애플스토어 채용 페이지 개설  애플스토어가 한국 진출이 임박한 것으로 알려진 가운데 애플이 한국어로된 채...

  • 등록일: 2016-09-29

742

VIEWS

9

COMMENTED

유용정보 [ '코리아 세일 페스타' 오늘부터 시작.. 삼성·LG전자 가전제품 최대 53% 할인 ]

'코리아 세일 페스타' 오늘부터 시작.. 삼성·LG전자 가전제품 최대 53% 할인   국내최대 쇼핑축제 ‘코리아 세일 페스타’(KSF)가 오늘(29일)부터 시작됐다. 삼성전...

  • 등록일: 2016-09-29

601

VIEWS

9

COMMENTED

유용정보 [ 국제선 항공권, 91일전에 취소하면 수수료 안내도 돼 ]

국제선 항공권, 91일전에 취소하면 수수료 안내도 돼.. 앞으로 국제선 항공권을 구매한 뒤 출발 91일 전에만 취소하면 취소수수료를 내지 않아도 된다. 공정거래...

  • 등록일: 2016-09-28

378

VIEWS

7

COMMENTED