Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

한국 인터넷 사용자를 겨냥한 악성 HWP 문서 취약점 기반 공격 기법이 한층 더 교묘해졌다.

HWP문서 기반 공격코드 '록랫(ROKRAT)'이 지난해말 새 버전으로 등장했다. 록랫은 한글과컴퓨터 한글 워드프로그램과 그 파일포맷 HWP의 기존 취약점(CVE-2013-0808)을 악용한 신종 공격코드(익스플로잇, exploit)다. 시스코시스템즈 위협정보분석조직 탈로스(Talos)가 지난해 처음으로 발견했다. [☞관련기사]

시스코시스템즈 탈로스는 록랫을 만들어 사용한 공격조직이 지난 2016년 하반기부터 2017년까지 수행한 일련의 사이버위협 활동을 추적, 분석해 왔다. 분석 결과 이 공격조직이 6차례에 걸쳐 세계 각지에 HWP 및 마이크로소프트(MS) 오피스 포맷의 악성문서를 동원한 공격활동(캠페인)을 벌였고, 특히 한국어로 작성된 HWP 포맷 악성문서로 국내 사용자를 겨냥한 공격도 수차례 진행했다고 밝혔다.

탈로스는 한국과 세계 각지에 악성문서 공격을 벌인 조직을 '그룹123(Group 123)'이라 명명하고, 지난 16일 공식블로그 포스팅을 통해 그룹123의 과거 활동 이력을 분석한 결과를 제시했다. 더불어 그룹123이 올초 새로운 공격활동을 시작했으며, 여기서 지난해(2017년) 사용한 록랫 익스플로잇의 새 버전을 발견했다고 덧붙였다. [☞탈로스 블로그 원문보기] [☞시스코코리아 번역문 보기]

탈로스는 2016년 하반기부터 최근까지 그룹123의 공격활동을 추적했다. 그룹123 소행으로 식별된 캠페인은 '골든타임(2016년 8월~2017년 3월)', '사악한새해(2016년 11월~2017년 1월)', '행복하십니까(2017년 3월)', '프리밀크(2017년 5월)', '북한인권(2017년 11월)', '2018년 사악한새해(2018년 1월~)' 이렇게 6가지다. 이 가운데 골든타임, 사악한새해, 북한인권, 2018년 사악한새해, 4가지 공격에 악성HWP문서가 쓰였다.

탈로스는 요약문을 통해 "우리는 분석을 통해 다음 6가지 캠페인이 그룹123에 진행됐음을 확신하고 있다"며 "분석 결과에 따르면 골든타임, 사악한새해, 북한인권 캠페인 모두 대한민국 사용자를 특정 대상으로 삼고 있다"고 설명했다. 또 "이 그룹이 활용한 스피어피싱 및 악성문서의 경우, 번역 서비스를 사용하지 않고 한국 현지인이 작성한 것으로 보이는 대단히 구체적인 내용이 포함돼 있었다"고 지적했다.

탈로스가 분석한 그룹123의 악성HWP 문서 기반 공격사례 4가지를 간단히 소개하면 아래와 같다.

■ 골든타임 캠페인

2016년 8월부터 2017년 3월까지 진행된 골든타임 캠페인은 조직내 특정 업무 담당자를 감염시키고자 집중적으로 악성코드를 유포하는 '스피어피싱' 공격으로 분류됐다. 확인된 악성코드는 이를 실행한 수신자의 PC를 감염시키고, 록랫을 내려받는 동작을 수행하게 만들어졌다.

록랫은 이후 운영체제(OS) 버전을 확인하고 소셜네트워크 및 클라우드플랫폼을 통해 공격자와 통신하며 추가 명령을 받는 역할을 했다.

탈로스는 골든타임 캠페인에 서로 다른 종류의 악성HWP 문서를 첨부한 2가지 이메일이 유포됐다고 설명했다. 하나는 연세대학교 '한반도국제포럼' 학술대회 담당자를 사칭해 "표적으로 삼은 담당자를 실존하지 않는 '통일·북한 학술대회' 패널로 합류하도록 유도"했다. 다른 이메일은 자신을 분단 전 한국의 강원도 지역인 '문천' 출신 인물로 소개하며 도움을 호소하는 내용이었다. 모두 유창한 한국어를 구사했다.

탈로스는 두 이메일에 첨부된 악성코드에 대해 "동일한 취약점(CVE-2013-0808)을 활용하며, 이 취약점은 캡슐화한 포스트스크립트(EPS) 형식을 대상으로 한다"고 지적했다. 이어 "록랫을 식별할 수 있는 특징 중 하나는 록랫이 소셜 네트워크 및 클라우드 플랫폼을 사용해 공격자와 통신한다는 점"이라며 "이 변종에서 사용되는 플랫폼은 트위터, 얀덱스, 미디어파이어"라고 밝혔다.

■ 사악한새해 캠페인

2016년 11월부터 2017년 1월까지 진행된 사악한새해 캠페인은 '2017년 北 신년사 분석'이라는 제목을 사용하고 통일부에서 작성된 것처럼 가장한 악성HWP 문서를 첨부한 이메일을 유포하는 활동이었다. 앞서 탈로스가 록랫 익스플로잇을 발견했다고 밝힌 첫 사례다. 탈로스는 "공격 조직은 대한민국 통일부에서 대한민국에 국한된 분석을 제공하는 이메일을 보낸 것으로 가장해 피해자를 속이려 했다"고 설명했다.

탈로스가 파악한 이 가짜 문서의 목적은 사용자가 페이지 아래 임베디드된 링크를 통해 추가 악성문서를 열도록 유도하는 것이었다. 링크는 사용자가 북한의 새해 활동에 관한 세부내용을 알고자 할 때 누르도록 유도하는 성격을 띠었다. 링크를 열면 악성 오브젝트링킹임베디드(OLE) 개체 파일이 실행되고 이로써 감염PC에 추가 악성코드(페이로드)를 가져올 수 있는 명령제어서버와 통신하게 된다.

사악한새해 캠페인의 추가 악성코드 유포처 중 하나는 공공조직인 '한국정부법무공단(KGLS)' 홈페이지였다. 탈로스는 사악한새해 캠페인에서 "공격자는 KGLS의 보안을 침해해 공격을 실행할 신뢰할 수 있는 플랫폼을 확보했다"면서 "이전 캠페인과 다르게 공격자는 기본 록랫 페이로드에서 정찰 단계(reconnaissance phase)를 분리했는데 이 트릭은 탐지를 피하기 위해 사용됐을 가능성이 높다"고 진단했다.

■ 북한인권 캠페인

2017년 11월 진행된 북한인권 캠페인은 또다른 악성HWP 문서 사용 활동이었다. 그룹123은 한국 서울에서 11월 1일 열린 회의와 관련된 정보를 담은 문서를 사용했다. 탈로스는 "일반적인 그룹123 활동과 마찬가지로 이 문서도 완벽한 한국어 텍스트와 방언으로 작성됐으며, 이 점은 해당 조직이 한반도를 기반으로 하고 있음을 시사한다"고 덧붙였다. 작성자는 북한 인권 관련 시민 연대 소속 변호사를 자처했다.

악성HWP 문서는 먼젓번 활동인 사악한새해 캠페인에 쓰인 것처럼 문서에 삽입되는 OLE 개체를 활용해 추가 악성코드를 실행하는 구조로 작성됐다. 이 추가 악성코드는 록랫 실행 유도 수단(드로퍼)이다. 이 드로퍼는 실행되는 동안 한컴오피스의 업데이트 프로그램으로 보이려는 듯한 이름(HncModuleUpdate.exe)의 바이너리파일로 저장됐다. 드로퍼는 악성코드에 쓰일 셸코드를 품은 SBS란 리소스 추출에 쓰였다.

드로퍼 실행 이후 단계에선 기존 록랫처럼 cmd.exe 프로세스가 VirtualAlloc(), writeProcessMemory(), CreateRemoteThread() 등 윈도API를 쓰는 프로세스 주입에 동원됐다. 이후 PE 바이너리 디코딩과 cmd.exe 프로세스 주입 과정으로 변종 록랫이 실행된다. 변종에는 특정 라이브러리가 로드됐는지 확인하는 안티샌드박스 기술, 아무 작업도 하지 않는 명령어(No operation)와 관련된 안티디버깅 기술이 적용됐다.

■ 2018년 사악한새해 캠페인

그룹123은 2018년 1월 2일부터 새해에 맞춘 '2018년 사악한새해' 캠페인을 시작했다. 그룹123은 1년전 사악한새해 캠페인 때처럼 북한 정치지도자 신년사를 분석한 내용을 담은 악성HWP 문서를 동원했고, 작성 주체를 정부부처인 통일부로 사칭했다. 문서는 더 과거 시점부터에 진행된 골든타임 캠페인처럼, EPS 취약점을 사용해 록랫 디코딩을 수행하는 셸코드를 내려받아 실행한다.

탈로스는 "(EPS 취약점을 악용하기 위해) 가짜 이미지를 사용하는 것은 이 그룹의 일반적인 패턴"이라며 "이런 이미지에는 최종 페이로드인 록랫을 디코딩하는 데 사용된 셸코드가 포함돼 있다"고 설명했다. 이어 "이 록랫 변종은 메모리에서 로드되는, 파일리스(fileless) 버전의 록랫"이라고 덧붙였다.

파일리스 악성코드는 일반 백신같은 파일 기반 악성코드 보안툴의 탐지를 회피할 수 있다. 탈로스는 "이런 행동은 그룹123이 탐지를 피하기 위해 지속적으로 (공격기법을) 발전시키고 있음을 보여 준다"고 평했다. 이어 "록랫은 여느때처럼 클라우드제공업체(이번에는 얀덱스, p클라우드, 드롭박스, 박스 활용)를 사용해 오퍼레이터(명령제어서버)와 통신한다"고 덧붙였다.

■ 결론 "그룹123, 주 공격 대상은 한반도"

탈로스에 따르면 그룹123은 워크플로에 한컴오피스 한글 워드프로그램 또는 MS오피스용 공격코드를 포함하고, 페이로드를 여러 단계로 분할해 해당 캠페인을 수정할 수 있다. 침해된 웹서버나 정상 클라우드 기반 플랫폼을 쓰고 HTTPS 통신을 사용해 트래픽 분석을 어렵게 만들 수 있다. 제3자의 보안 환경을 뚫고 스피어피싱 캠페인의 거짓 정보나 가짜 신분을 위조할 수 있고, 최근 파일리스 악성코드도 사용했다.

탈로스는 "그룹123는 한국 대상으로 할 때는 특정 HWP 문서를 사용했다면, 전세계 대상으로는 MS오피스문서를 사용하는 등 일반적인 공격수단으로 전환할 수 있다"며 "이 그룹은 첩보 수집 활동에 참여했고 최종적으로 파괴공격을 시도했다"고 결론내렸다. 또 "이 공격조직은 앞으로도 계속 활발히 활동할 것으로 예상된다"며 "(공격) 대상은 바뀔 수 있지만 지금은 한반도가 주요 대상이라고 판단된다"고 덧붙였다.

■ 경찰이 '북한 소행' 판단한 활동과 유사

1년전쯤 그룹123의 일부 공격활동과 유사한 사건이 2017년 1월 경찰청 사이버안전국 수사결과로 발표된 적이 있다. 발표에 따르면 당시 기준 약 5년 전부터, 북한 소재 '류경동 조직'이 신분을 사칭해, 한국어로 북한과 관련된 주제의 내용을 담은 HWP 등 문서 첨부형 악성메일을 유포해 왔다. 공격 대상은 국내 북한관련 업무를 맡고 있는 공공 및 민간부문 담당자였다. [☞관련기사]

당시 경찰은 2016년 1월 청와대 등 국가기관을 사칭한 악성 이메일 발송사건 발생 이후 1년간 북한의 해킹조직 활동상황을 추적 수사한 결과 "북한이 2012년 5월부터 정부, 연구, 교육기관 등 종사자에게 악성메일을 보낸 사실을 확인했다"고 밝혔다. 그중 한 사례는 탈로스가 파악한 사악한새해 캠페인처럼, 북한 신년사 분석이란 제목의 악성HWP 파일을 동원했다.경찰청 사이버안전국에서 수사후 북한 소행이라 결론내린 류경동 조직의 공격활동에서 유사성이 발견된다는 것만으로, 탈로스의 사악한새해 캠페인 실행주체 또한 북한 소행이라 단정하기는 어렵다. 탈로스는 이번에 사악한새해를 포함한 6가지 공격활동의 주체로 지목한 그룹123에 대해 "상당한 수준의 성숙도를 갖췄으며 한국 지역 관련 지식 또한 보유하고 있다"고만 평가했다.

하지만 탈로스도 지난해 4월 사악한새해 캠페인의 분석 결과를 최초 공개할 땐, 그룹123이 "한국에서 정보를 얻으려 하는 국외 정부 지원 해커 조직"이라고 추정했다. 또 이 공격이 "한국 공공 부문 주체를 대상으로 수행하기 위해 재정적 지원이 원활한 조직에 의해 설계됐을 가능성이 높다"며 "공격에 동원된 기술 가운데 상당수는 앞서 특정 정부 기관에 의해 벌어진 공격 사례에 들어맞는다"고 진단한 바 있다.

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

로임

2018.01.23 16:29
가입일:
총 게시물수: 227
총 댓글수: 1036
한글2010 17년 12월에 패치 나온게 있었는데 공식사이트에도 없고 정보를 찾을 수 가없네요.
profile

프리네

2018.01.23 21:48
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182
정보 감사합니다....
profile

푸른빛유성

2018.01.23 22:07
가입일:
총 게시물수: 0
총 댓글수: 3
정보 감사합니다. 저희회사도 그렇고 기관도 거의 word 쓰는 추세이긴 하더라구요
profile

kungms

2018.01.23 22:21
가입일: 2016:04.03
총 게시물수: 34
총 댓글수: 496
hwp를 공격할 수도 있군요. 알려주셔서 감사합니다
profile

세종님

2018.01.23 23:05
가입일: 2019:06.18
총 게시물수: 5
총 댓글수: 36
좋은정보 감사합니다..hwp까지
profile

꼼팡이

2018.01.23 23:47
가입일: 2016:07.28
총 게시물수: 98
총 댓글수: 317
백신보다 바이러스가 더 진화하니..
profile

얼음동자

2018.01.30 11:15
가입일: 2017:12.22
총 게시물수: 0
총 댓글수: 24
아... 워드에 비해서. 아래아 한글의 편집성은 정말 좋죠..
워드는 표만들고 나면 최악의 편집성을 보여준다는..-_-;
profile

땡글이

2018.03.09 18:15
가입일:
총 게시물수: 1
총 댓글수: 143
감사합니다..
List of Articles

기타정보 알리발 pd 지원 충전기들 뻥스팩이 많습니다. file

델 제품을 주로 쓰는데 20v 이상 45w 출력을 많이 요구합니다. https://www.aliexpress.com/item/original-xiaomi-USB-C-charger-QC3-0-MI-charger-45W-Max-Smar...

  • 등록일: 2018-01-29

281

VIEWS

10

COMMENTED

IT정보 그래픽카드 가격 실화? PC 게이머 울리는 금값 그래픽카드, 원인은?

  PC게임이 다소 주춤했던 재작년, 그리고 작년 초와 달리 지난해 중순 부터는 다양한 PC게임과 인기게임들에 힘입어 PC게임이 다시 부흥하기 시작했다. 그 중심...

  • 등록일: 2018-01-29

372

VIEWS

17

COMMENTED

IT정보 세계 최초의 512GB 마이크로 SD카드가 2월중 발매예정

영국의 Integral Memory에서 최초의 512GB microSD 카드 출하를 발표 했습니다. microSDXC 규격을 지원하는 대부분의 안드로이드 스마트폰, 태블릿뿐만 아니라 S...

  • 등록일: 2018-01-28

525

VIEWS

13

COMMENTED

MS소식 한국MS '서피스랩톱' 국내 출시

한국MS '서피스랩톱' 국내 출시 마이크로소프트(MS) '서피스랩톱'이 국내 출시됐다. 서피스랩톱은 '윈도10 S' 운영체제(OS)를 탑재한 MS 자체브랜드 컴퓨터다. ​...

  • 작성자: Op
  • 등록일: 2018-01-27

362

VIEWS

7

COMMENTED

윈도정보 Windows RS4 Inside Preview 17083 배포되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCORE             ← Home 버전 CLIENTEDUCATION    ← Education 버전 CLIENTENTERP...

  • 등록일: 2018-01-25

820

VIEWS

16

COMMENTED

IT정보 인텔 "CPU보안패치 일단 적용하지 마라"

인텔이 연초 발표된 중앙처리장치(CPU) 보안결함을 해결하기 위해 배포된 패치를 적용하지 말라고 공지했다. 패치를 적용한 하스웰 및 브로드웰 CPU 기반 컴퓨터 ...

  • 등록일: 2018-01-24

547

VIEWS

25

COMMENTED

IT정보 안드로이드 8.1, WiFi 속도를 자동 감지

안드로이드 8.1에 WiFi 속도를 자동으로 감지해 4단계로 구분, 사용자가 더 빠른 네트워크를 쓸 수 있도록 돕는 기능이 추가됩니다.   느림: 0~1Mbps. WLAN 통화...

  • 등록일: 2018-01-24

297

VIEWS

7

COMMENTED

IT정보 라이젠 2000G, 레이븐 릿지 APU의 스펙

AMD가 코드네임 레이븐 릿지 시리즈, 라이젠 2000G의 스펙입니다.    젠 CPU 마이크로 아키텍처, 베가 그래픽 아키텍처, 최대 11개의 NGCU(704개의 스트림 프로세...

  • 등록일: 2018-01-24

217

VIEWS

5

COMMENTED

IT정보 삼성전자, 16Gb GDDR6 메모리 양산 발표 file

삼성전자가 16Gb GDDR6(Graphics Double Data Rate 6) DRAM 양산을 발표했다. 2014년 12월 8Gbps의 20나노 8Gb GDDR5 DRAM 양산을 시작한 삼성전자는 속도와 용...

  • 등록일: 2018-01-24

337

VIEWS

9

COMMENTED

IT정보 인텔 스펙터 패치 배포 중단 요청, 재부팅 문제 해법 찾았다. file

스펙터로 분류된 두 번째 변종을 막기 위해 배포된 패치가 재부팅 오류의 원인으로 확인됐다. 현지 시간으로 22일, 보도자료를 배포한 인텔은 재부팅 문제의 근...

  • 등록일: 2018-01-24

226

VIEWS

5

COMMENTED

IT정보 AMD 데스크탑 레이븐 릿지, TDP 65W에 DDR4 2933MHz 지원 file

코드네임 레이븐 릿지로 더 잘 알려진, AMD의 Vega 그래픽이 통합된 라이젠 2000G 시리즈의 스펙이 유출되었다. AMD는 CES서 차세대 라이젠에 대한 내용을 발표...

  • 등록일: 2018-01-24

195

VIEWS

4

COMMENTED

IT정보 삼성전자, 최신 SSD '860 PRO 및 860 EVO' 시리즈 출시 file

삼성전자가 최첨단 반도체 기술이 집약된 SSD 신제품 '860 PRO 860 EVO' 시리즈를 한국, 미국, 중국, 독일 등 전 세계 50여개국에 동시에 런칭한다. 삼성전자는 ...

  • 등록일: 2018-01-24

267

VIEWS

1

COMMENTED

유용정보 한국 노린 악성HWP 공격, 더 교묘해졌다

한국 인터넷 사용자를 겨냥한 악성 HWP 문서 취약점 기반 공격 기법이 한층 더 교묘해졌다. HWP문서 기반 공격코드 '록랫(ROKRAT)'이 지난해말 새 버전으로 등장...

  • 등록일: 2018-01-23

391

VIEWS

8

COMMENTED

일반정보 新메모리 시대가 온다…삼성, 올해 'STT-M램' 본격 양산

D램 대체할 신기술, 올해 자동차용 반도체 등에 본격 적용 에버스핀에 이어 메모리 1위 삼성 진입하며 시장 확대 전망 2007년 등장한 미래형 메모리 반도체 기술 ...

  • 등록일: 2018-01-23

411

VIEWS

14

COMMENTED

윈도정보 Windows 10 Version 1709에 대한 누적 업데이트(KB4073291)

Cumulative Update for Windows 10 Version 1709 (KB4073290) : 16299.194 x64-based Systems (KB4073290) http://download.windowsupdate.com/c/msdownload/upda...

  • 등록일: 2018-01-19

953

VIEWS

12

COMMENTED