2019년 07월 12일, 정부 지원을 받는 해킹 조직으로 널리 알려진 이른바 '라자루스(Lazarus)' APT 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착되었습니다. 

[그림 1] HWP 취약점 문서 파일

전반적으로 지난 6월 20일에 라자루스(Lazarus) APT 조직에 의해 수행된 '오퍼레이션 무비 코인'과 유사도가 높습니다.

'시스템 포팅 명세서.hwp' 파일명으로 발견된 악성 파일은 07월 11일 오전 11시 20분경 제작된 것으로 추정되며, 고스트 스크립트 모듈의 취약점으로 쉘코드에서 동작해서 봇 역할을 수행하게 됩니다. 

'시스템 포팅 명세서' 한글 파일을 열어보면, 실제 시스템 포팅 계약서 양식이 보이며 계약의 요강이라는 문서표 내에 정말 실제 계약서와 유사하게 보이는 계약 금액과 수행 기간, 계약보증, 지체보상금에 대한 영역까지 공들여서 작업한 것을 확인할 수 있습니다. 

아래의 주소에서 최종 페이로드를 다운로드 및 실행하게 됩니다.

[그림 2] 최종 페이로드 주소 화면

최종 페이로드 주소 및 Hash 정보

위의 주소에서 내려온 최종 페이로드(movie32,64)는 감염된 시스템의 정보를 수집하여 공격 조직에게 전송하는데 기본적으로 이전 '오퍼레이션 무비코인'에서 활용된 최종 페이로드와 거의 동일한 행위를 수행하는 것이 확인되었습니다.

감염 시스템에 안착한 최종 페이로드는 봇 에이전트이며, 이 봇에게 명령을 내리는 C&C 서버 정보는 다음과 같습니다. 이 3개의 C&C 서버 간의 연관관계는 아직 밝히지 못했으나 직접적으로 서로 상관관계는 아닌 것으로 보여 추가조사가 필요합니다. 

C&C 서버 정보

또한 C&C 서버로부터 명령을 전달받은 봇은 위에서 잠시 언급했던 것처럼 감염된 시스템과 사용자의 정보를 수집하여 전송하는 것은 물론, 추가파일을 다운로드 및 실행하는 공격, 지정된 시간만큼 공격을 수행하지 않고 대기하는 행위 등을 수행합니다.

라자루스 조직이 지난 6월 20일 확인된 무비코인 작전 이후, 6월 말에는 텔레그램 메신저로 악성 엑셀파일을 유포했으며, 7월 초에도 암호화폐 거래 관계자를 노린 APT 공격을 시도하는 등 다시 활발한 활동을 보이는 경향을 보이고 있고 특히 한국을 대상으로 하는 APT 공격이 다수인만큼 각별한 주의가 필요합니다.

ESRC에서는 이와 관련된 유사 보안 위협 모니터링을 강화하고 있으며, 침해지표(IoC) 등을 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 제공할 예정입니다.

현재 알약에서는 해당 악성코드에 대해 'Exploit.HWP.Agent, Trojan.Agent.96256H'으로 탐지중에 있습니다.