김수키(탈륨) 조직, 코로나19 테마와 WSF 바카라 롤링 기반 공격 주의

미국 마이크로소프트(MS)사는 작년 12월 말, 해킹 그룹인 ‘탈륨(Thallium)’을 고소하고, 그들이 악용한 웹 사이트 도메인을 통제했다고 전한 바 있습니다.

특정 정부와 연계된 것으로 알려진 탈륨이라는 해킹 그룹명은 김수키라는 조직명으로도 널리 알려져 있습니다.

이들 조직은최근까지도 'Windows 스크립트 바카라 롤링(.wsf)' 기반의 공격을 지속적으로 활용하고 있어 이용자들의 보다 세심한 주의가 필요해 보입니다.

바카라 롤링자들은 사회적으로 관심도가 높거나, 바카라 롤링 타깃의 유관분야 주제의미끼를 만들어 APT(지능형지속위협) 바카라 롤링을 수행하고 있습니다.

ESRC는 지난 19일 '' 내용을 공개한 바 있습니다.

이때 발견된'bmail-security-check.wsf' 스크립트와같이 공격자들은 wsf 악성 바카라 롤링을 지속적으로 활용하고있고, 저희는 '블루 에스티메이트(Blue Estimate)' 캠페인으로 분류하고 있습니다.

김수키 또는 탈륨 조직의 APT 캠페인으로는 '블루 에스티메이트'와 함께 2019년 04월에 공개한 바 있는 '' 사례가 대표적이라 할 수 있습니다.

그리고 wsf 바카라 롤링의 경우 '' 리포트에서 다양한 사례를 확인할 수 있습니다.

ESRC는최근 김수키(탈륨) 조직이 코로나19 바이러스 관련 내용으로 위장한 문서를 이용해 바카라 롤링을 시도한 정황을 포착했습니다.

이들은 wsf 유형의 악성 스크립트를 이용해 바카라 롤링을 시도했습니다.

스크립트 코드 내부에는 코로나19 관련 정상 hwp문서 바카라 롤링과악성 dll 바이너리 바카라 롤링이 Base64 코드로 인코딩되어 있습니다.

[그림 1] wsf 스크립트 코드 내부 화면

악성 스크립트가 실행되면 내부에 인코딩된 바카라 롤링들이 'ProgramData', 'AutoPatch' 경로 등에 생성되는데, 정상적인 hwp 문서는 다음과 같은 화면을 보여주어 감염 사실을 인지하기 어렵게 합니다.

[그림 2] 2020 코로나 감염 관련 내용을 보여주는 화면

정상 hwp 문서가 보여지는 과정에악성 dll 바카라 롤링이 'C:\ProgramData\Software\Microsoft\Windows\AutoPatch' 경로에 생성되고 감염활동을 시작하게 됩니다.

[그림 3] 악성 'patch.dll' 바카라 롤링이 생성된 모습

악성 바카라 롤링은 'chanel-love.org-help[.]com' (92.249.44[.]201) 명령제어(C2) 서버로 통신을 시도하고, 감염된 컴퓨터의 맥 주소와 운영체제 정보 등을 전송합니다. 그리고 공격자 의도에 따라 추가 명령을 수행하게 됩니다.

[그림 4] 'patch.dll' 악성 바카라 롤링의 C2 주소

ESRC는 김수키(탈륨) APT 조직이 매우 활성도 높게 사이버 위협활동을 수행 중이고,wsf 기반의 악성 스크립트 바카라 롤링을 지속적인 위협 도구로 사용하고 있는 점에 주목하고 있습니다.

주로 이메일에 wsf 바카라 롤링을 압축해 첨부하거나 URL 링크로 다운로드 및 실행을 유도하는 형태가 사용되고 있어스크립트바카라 롤링 발견할 경우각별히주의해 주시기 바랍니다.

바카라 롤링자는 org-help[.]com 도메인을 지속적으로 사용하고 있습니다.

92.249.44[.]201, 213.190.6[.]57 IP 주소가 사용되고 있으며, 도메인 등록자 이메일 주소는 'parksonghui1910@gmail.com'입니다.

[그림 5] kimsuky 도메인 정보 비교

이스트시큐리티는 알약 백신 제품에 해당 악성코드를 탐지하고 치료할 수 있도록 긴급업데이트가 완료된 상태입니다.

ESRC는 본 내용과 관련된 침해지표(IoC) 내용을 '' 서비스를 통해 별도로 제공할 예정입니다.