본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

北 연계 탈륨조직, '블루 에스티메이트(Blue Estimate)' APT 캠페인 지속

보안공지 2020-11-13


2019년 말 미국 마이크로소프트(MS)사가 고소하면서 알려진 북한 연계 해킹그룹 ‘탈륨(Thallium)’의 새로운 지능형지속위협(APT) 공격 징후가 포착됐습니다. 탈륨은 일명 김수키(Kimsuky)라는 이름으로도 알려져 있습니다.


ESRC는 11월에 제작된 신규 악성파일이 지난 2019년 12월 04일 '김수키 조직, 청와대 녹지원/상춘재 행사 견적서 사칭 APT 공격' 제목의 【블루 에스티메이트(Blue Estimate)】 APT 캠페인 시리즈로 확인했습니다.


현재 위협 행위자는 한국 과학기술연구, 방위산업 등 멀티 APT 공격을 수행 중입니다. 이들은 다양한 분야에 대한 사이버 위협활동을 지속하고 있으며, 그 활성도가 매우 높은 상태로 감지되고 있습니다.


지난 11월 04일 정찰 및 침투목적의 악성 이메일을 발송한 정황이 포착된 바 있는데, 이때 사용된 명령제어(C2) 호스트 주소는 다음과 같습니다.


그리고 'kaist-ac[.]xyz' 도메인도 11월 관찰고, '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례와 동일한 'porkbun' 서비스에서 등록됐습니다. 놀라운 점은 공격대상 분야의 실제 아이피 대역이 일시 연결된 점입니다.



- kaist.r-naver[.]com (185.224.137.164)

- www.kaist-ac[.]xyz (185.224.138.29)

- mail.kaist-ac[.]xyz (143.248.155.65)


Domain Name: KAIST-AC.XYZ

Registrar URL: https://porkbun.com

Updated Date: 2020-11-10T19:11:40.0Z

Creation Date: 2020-11-01T13:41:49.0Z



[그림 1] 악성 이메일에 포함된 내부 코드 화면



해당 C2 주소는 바이러스토탈(VirusTotal.com)에 등록된 쓰렛 인사이드(Threat Inside) 서비스를 통해 이미 악성 웹 사이트로 분류되어 있는 상태입니다.

 



[그림 2] 바이러스토탈 서비스에 탐지된 화면



이런 가운데 동일 조직이 사용한 새로운 악성 파일이 ESRC 위협 인텔리전스 모니터링 과정에 발견되었습니다.


해당 악성 파일은 빌드타임(KST) 기준으로 2020년 11월 10일 제작됐습니다. 그리고 64비트 DLL 형식을 가지고 있으며 익스포트 함수명이 'ut_zeus(x64).dll' 입니다. C2 주소는 'app.veryton[.]ml (216.189.159.36)' 입니다.


악성 모듈 제작자는 '제우스(zeus)' 이름을 지정해 여러차례 변종을 제작한 바 있는데, 2020년 07월 10일 제작된 32비트 변종은 익스포트 함수명이 'ut_zeus(x86).dll' 입니다. C2 주소는 'eastsea.or[.]kr (45.13.135.103)' 입니다.


'eastsea.or[.]kr' 주소에서는 탈륨 조직의 악성 파일이 배포된 이력이 존재합니다.



 빌드타임

 익스포트명

 명령제어(C2) Domain

 명령제어(C2) IP 

 2020-07-10 21:04:00 (KST)

 ut_zeus(x86).dll

 eastsea.or[.]kr

 45.13.135.103
 2020-11-10 12:01:08 (KST) ut_zeus(x64).dll app.veryton[.]ml 216.189.159.36



[그림 3] 악성 파일이 암호화해 둔 C2 호스트 주소화면



'eastsea.or[.]kr' 주소의 경우는 이미 탈륨 조직이 사용했던 주요 도메인과 동일한 아이피 대역 입니다.



appmedicine.whoint[.]cf

assembly-check-loader.pe[.]hu

bigfile.hol[.]es

bigfile.pe[.]hu

check.sejong-downloader.pe[.]hu

ck.daum-vip.pe[.]hu

daum-do.pe[.]hu

daurn.pe[.]hu

gabia.pe[.]hu

mail.astrozeneca[.]ml

members.daurn.hol[.]es

nagoya.datastore.pe[.]hu

naver.hol[.]es

snu.ac-kr.esy[.]es

suzuki.datastore.pe[.]hu

toyota.datastore.pe[.]hu

upload.bigfile-nate.pe[.]hu


- 이하 다수 생략 -



문자열 암호화에 사용된 알고리즘은 변종에 따라 상이할 수 있지만, 지난 10월 16일 공개된 '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 내용과 유사한 흐름을 가지고 있습니다.


마찬가지로 당시 사용된 'kasse.hdactech[.]info' 주소와 'kaist.r-naver[.]com' 연관성이 존재하는 것을 확인할 수 있습니다. 그리고 다른 C2 주소 확인도 가능한데 과거 탈륨 조직이 사용한 도메인들과 연결 됩니다.



 Domain

 IP

 kasse.hdactech[.]info

 185.224.138.29

 kaist-ac[.]xyz

 185.224.138.29

 firmware.kasse-tech[.]club 185.224.138.29
 updown.kasse-tech[.]club 185.224.138.29
 hi-hardwallet.esy[.]es 185.224.138.29
 wallet-info.esy[.]es 185.224.138.29
 upd.hdac-tech[.]buzz 185.224.138.29
 hi-hardwallet.esy[.]es 185.224.138.29
 hdac.wallet-info.esy[.]es 185.224.138.29
 orbit.wallet-info.esy[.]es 185.224.138.29
 bmail-or-kr.esy[.]es 185.224.138.29
 my-homework.890m[.]com 185.224.138.29

 kaist.r-naver[.]com

 185.224.137.164

 kimm.r-naver[.]com 185.224.137.164
 renk-ag.member-info[.]net 185.224.137.164
 genexine.member-info[.]net 185.224.137.164
 shinpoong.r-naver[.]com 185.224.137.164
 shinpoong.accountcheck[.]net 185.224.137.164
 jnj.accountcheck[.]net 185.224.137.164
 bidmc.accountcheck[.]net 185.224.137.164
 vdaum[.]net 185.224.137.164
 outlook.accountcheck[.]net 185.224.137.164
 pusan.accountcheck[.]net 185.224.137.164
 binance.member-info[.]net 185.224.137.164
 yahoocenter.member-info[.]net 185.224.137.164
 yonsei.member-info[.]net 185.224.137.164
 shkj.hol[.]es 185.224.137.164
 logenv.rrnaver[.]com 185.224.137.164
 nidlogin.c-naver[.]com 185.224.137.164
 ukroboronprom.udaum[.]net 185.224.137.164
 mail.otokar.esy[.]es 185.224.137.164
 mail.malyshevplant.hol[.]es 185.224.137.164
 logins.udaum[.]net 185.224.137.164
 email-hanwha.pe[.]hu 185.224.137.164
 ahnlab-vac.hol[.]es 185.224.137.164



공격에 사용된 도메인 중에 일부 동일한 계정이 등록하여 사용하고 있습니다.


'nextstep.php@gmail.com' 지메일을 사용하는 공격자는 'Ttonggui Wang' 또는 'Tomas Jerry' 이름을 사용하지만, 등록국가명을 대한민국으로 설정 했다가 중국으로 설정하는 등 평소 허위정보로 등록하는 것을 관찰할 수 있습니다.


흥미롭게도 전화번호 +82.13511823459' 숫자는 동일하게 사용하고 있습니다.



[그림 4] 공격자가 C2 도메인 등록시 사용한 정보 화면



지난 06월 30일 '김수키(탈륨) 조직, 코로나19 테마와 WSF 파일 기반 공격 주의' 때는 동일한 위협 행위자들이 'parksonghui1910@gmail.com', 'yourtest111@outlook.com' 주소를 한국과 중국으로 등록한 바 있습니다.



[그림 4-1] 유사 위협 사례에서 사용된 도메인 비교



'nextstep.php@gmail.com' 이메일 주소로 등록된 주요 도메인 주소는 다음과 같습니다.


'accountcheck[.]net' 주소의 경우는 조직명이 'ttonggui wang' 이름에서 'securityteam' 새 이름으로 변경된 특징이 있지만 'tomas jerry' 이름은 동일 합니다.



 도메인

 조직

 이름

 member-authorize[.]com

 ttonggui wang

 ttonggui wang

 udaum[.]net

 ttonggui wang

 ttonggui wang

 rrnaver[.]com

 ttonggui wang

 ttonggui wang

 daum-center[.]net

 ttonggui wang

 ttonggui wang

 duaum[.]net

 ttonggui wang

 ttonggui wang

 pro-navor[.]com

 ttonggui wang

 ttonggui wang

 member-info[.]net

 ttonggui wang

 ttonggui wang

 webuserinfo[.]com

 ttonggui wang

 tomas jerry

 accountcheck[.]net

 securityteam tomas jerry



각각의 도메인은 한국의 여러 사이버 위협 사례에서 목격된 바 있으며, 모두 탈륨 조직으로 분류되어 있는 상태입니다.


대표적으로 'member-authorize[.]com' 도메인 주소의 경우 2019년 03월 12일 외교부 일본 동향 정보처럼 위장한 스피어 피싱 공격에서 사용된 바 있습니다.


그리고 2020년 05월에는 한국의 방위산업 분야 기업상대 공격에서도 재활용된 바 있습니다.



[그림 5] 스피어 피싱 공격 화면



'member-info[.]net' 도메인의 경우는 'genexine.member-info[.]net', 'snt.member-info[.]com', 'naver.member-info[.]net' 등 마치 특정 약학연구 및 방위산업체, 네이버 고객센터 처럼 위장한 공격에 사용 되었습니다.


'webuserinfo[.]com' 도메인의 경우 'nhn.webuserinfo[.]com' 등 NHN 네이버 고객센터로 위장한 공격에서 여러차례 발견된 바 있습니다.


당시 공격에는 'rebrand.ly' 단축주소 서비스가 빈번하게 악용 되었으며, 클릭할 경우 'nhn.webuserinfo[.]com' 주소로 연결이 진행 됩니다.



[그림 6] 네이버 고객센터에서 보낸 것처럼 위장한 해킹 이메일 화면



'accountcheck[.]net' 도메인의 경우는 'shinpoong.accountcheck[.]net', 'jnj.accountcheck[.]net', 'bidmc.accountcheck[.]net', 'outlook.accountcheck[.]net', 'pusan.accountcheck[.]net' 주소 등으로 악용된 바 있습니다.


이처럼 탈륨 조직은 다양한 분야를 상대로 전방위 공격을 수행하고 있습니다. 


따라서 위협 인텔리전스 강화가 어느때보다 필요한 시점이며, 국가 사이버 안보 차원의 보다 능동적인 대응과 민관 합동 공조가 절실히 요구되는 실정입니다.


이처럼 탈륨 그룹의 파상공세에 맞서 사이버 위협 억지전략을 체계화 함은 물론, 유사한 공격을 미연에 차단하고 피해를 최소화할 수 있도록 만반의 대비와 노력이 필요합니다.