2018.04.03 Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved.
목차 개요... 3 레드아이즈공격그룹활동현황... 4 1. 악성코드특징및현황... 4 2. 주요공격사례및공격방식... 5 레드아이즈공격그룹악성코드상세분석... 9 1. Reloader (DocPrint)... 9 2. Reloaderx... 10 3. Redoor (DogCall)... 10 4. Wiper... 10 다른공격그룹과의연관가능성... 11 1. 오퍼레이션프로감스바이미 (Operation ProgamsByMe, 2015 년 )... 12 2. Pad-1 사용자제작악성코드 (2016 년 )... 17 안랩제품의대응현황... 19 결론... 19 Appendix... 20 참고자료... 20 추가정보... 20 AhnLab, Inc. All rights reserved. 2
개요 레드아이즈 (Red Eyes) 공격그룹은금성121(Geumseong121), 그룹 123(Group 123), 스카크러프트 (ScarCrurf), APT37, 리퍼 (Reaper), 물수제비천리마 (Ricochet Chollima) 등으로도알려져있다. 지금까지확인된공격대상과관련파일의내용으로미루어볼때이해킹그룹의주요공격대상은탈북자, 북한인권운동가, 북한연구가, 언론인등북한과관련된단체또는사람들이다. 또군사와관련된문서파일을이용한사례도확인되었다. 이공격그룹은주로이메일이나모바일메신저를통해공격대상에게악성코드가포함된문서를보내 는방식을사용한다. 문서파일에실행가능한 VBS, EXE 등의파일을삽입하는방식을이용하거나특히 한국에서주로사용되는한글파일 (HWP) 의 EPS 취약점이용한다. 한글파일뿐아니라 MS오피스 (MS Office) 문서도공격에사용한다. 지난 2017년 10월에는 MS워드의 DDE(Dynamic Data Exchange) 를이용했다. 또 2018년 2월에는 MS엑셀문서에플래시플레이어제로데이 (CVE-2018-4878) 취약점을이용한파일을첨부한사례가확인되었는데, 1 실제공격이진행된시점은이보다앞선 2017년 11월로알려졌다. 2018년 3월에는공격대상에게모바일악성코드를전송했던것으로알려졌다. 2 레드아이즈공격그룹의활동이처음확인된것은지난 2016년가을경으로, 시기적으로 2015년과 2016년봄까지왕성하게활동했던공격그룹이사라진후등장했다. 2015년 프로감스바이미오퍼레이션 (Operation ProgamsByMe) 을수행한공격그룹과동일한그룹이거나연관되었을가능성이제기되고있다. 레드아이즈그룹은다양한공격방식을이용하고있으며, 악성코드내에 First, Happy, Work 등의문자열을포함하는특징을갖고있다. 이보고서에서는레드아이즈공격그룹의주요공격사례와함께이그룹과연관가능성이있는공격그룹 의 2015 년및 2016 년활동에대해상세히살펴본다. 1 http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html 2 https://byline.network/2018/03/1-1052/ AhnLab, Inc. All rights reserved. 3
레드아이즈공격그룹활동현황 최소 5 년여에걸쳐탈북자, 북한인권운동가등에대한지속적인해킹시도 3 가확인되었다. 탈북자가운 영하는웹사이트가공격받기도했다. 4 국내외주요보안업체의노력으로일부공격사례가특정공격그 룹, 일명 레드아이즈 (Red Eyes) 의소행임이밝혀졌다. 레드아이즈공격그룹은금성121(Geumseong121), 그룹 123(Group 123), 스카크러프트 (ScarCrurf), APT37, 리퍼 (Reaper), 물수제비천리마 (Ricochet Chollima) 등으로도알려져있다. 지금까지확인된공격대상과관련문서파일의내용으로미루어이그룹의주요공격대상은탈북자, 북한인권운동가, 북한연구가, 언론인등북한과관련된단체또는사람들로확인되었다. 또한군사관련문서를이용한사례도있었다. 이공격그룹은 2017년초시스코 (Cisco) 탈로스 (Talos) 에서관련내용을공개하면서알려졌다. 5 이후지난 2018년 1월말어도비플래시플레이어제로데이취약점 (CVE-2018-4878) 을이용한공격의배후로확인되면서많은관심을끌었다. 6 이어지난 2018년 2월에는파이어아이 (Fireeye) 가추가분석내용을공개했으며, 7 2018년 3월에는이스트시큐리티에서이그룹이모바일메신저를통해모바일악성코드를전송한사례를공개했다. 8 1. 악성코드특징및현황 지난 2016 년가을부터 2017 년말까지레드아이즈공격그룹에서제작한것으로보이는악성코드가지속적 으로발견됐다. [ 그림 1] 은 2016 년 9 월부터 2018 년 2 월까지확인된레드아이즈공격그룹의악성코드추이 며, 악성코드유형은주로문서파일, 드롭퍼, 백도어등이다. 3 http://www.yonhapnews.co.kr/politics/2013/09/16/0511000000akr20130916094400017.html 4 http://news.kbs.co.kr/news/view.do?ref=a&ncd=2987126 5 http://blog.talosintelligence.com/2017/02/korean-maldoc.html 6 http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html 7 https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html 8 http://www.dailysecu.com/?mod=news&act=articleview&idxno=31790 AhnLab, Inc. All rights reserved. 4
. 10 9 8 8 9 9 7 6 6 5 4 3 2 1 0 1 2 2 1 4 3 4 2 2 3 0 0 3 1 [ 그림 1] 레드아이즈공격그룹악성코드추이 (2016 년 9 월 ~ 2018 년 2 월 ) 레드아이즈공격그룹의악성코드에는특징적인 PDB(Program database) 문자열이포함되어있다. [ 표 1] 은 해당 PDB 문자열로, 이를통해이공격그룹의악성코드버전, 악성코드종류등을추측할수있다. d:\highschool\version 13\2ndBD\T+M\T+M\Result\DocPrint.pdb D:\HighSchool\version 13\First-Dragon(VS2015)\Sample\Release\DogCall.pdb D:\HighSchool\version 13\VC2008(Version15)\T+M\T+M\TMProject\Release\ErasePartition.pdb E:\Happy\Work\Source\version 12\First-Dragon\Sample\Release\DogCall.pdb e:\happy\work\source\version 12\T+M\Result\DocPrint.pdb [ 표 1] 레드아이즈그룹악성코드 PDB 문자열 2. 주요공격사례및공격방식 레드아이즈공격그룹은주로목표대상에메일을통해악성코드가포함된문서를발송하는방식을사 용한다. 2018 년 3 월에는모바일메신저를통해모바일악성코드를전송하는방식도사용했던것으로알 려졌다. 이공격그룹은주로한국에서널리사용되는한글파일 (HWP) 의 EPS 취약점이용하거나실행가능한 VBS, EXE 등의파일을삽입하는방식을이용한다. 한글파일뿐만아니라 MS 오피스문서도공격에사용 AhnLab, Inc. All rights reserved. 5
한다. 2017 년 10 월에는 MS 워드문서의 DDE(Dynamic Data Exchange) 를이용했으며, 2018 년 1 월말에는 플래시플레이어제로데이 (CVE-2018-4878) 취약점을이용한 MS 오피스문서를사용한것으로확인되는데 9, 실제로이를공격에이용한것은이보다앞선 2017 년 11 월로알려져있다. 레드아이즈공격그룹은 2016 년부터본격적으로활동하기시작했다. 주요공격사례는 [ 표 2] 와같다. 시기 공격방식 문서내용 2016.09 한글 EPS 북한학술대회 2016.09 한글 EPS 북한및탈북자관련뉴스 2017.01 한글파일내악성코드첨부 북한신년사 2017.01 한글 EPS 2017년민간단체공익활동지원사업공모공고 2017.02 한글 EPS 중국동포이력서 2017.03 한글 EPS 정치관련 ( 하드디스크데이터파괴형악성코드실행 ) 2017.03 한글 EPS 군관련 2017.03 한글 EPS 근로계약서 2017.05 한글 EPS 몸에심장이없는상태로 555일생존한남성 2017.10 DDE (Dynamic Data Exchange) 입금확인, 대북전단, 혹은대북풍선관련내용으로추정 2017.10 한글 EPS 탈북자도움요청 2017.11 VBS 파일삽입 북한인권법관련회의 2017.11 엑셀파일에플래시파일첨부 화장품가격 [ 표 2] 레드아이즈공격그룹주요공격사례 레드아이즈공격그룹이한글문서에서처음으로 EPS 를이용한것은 2016 년가을경으로, 해당문서는북 한학술대회, 북한소식, 탈북자등과관련된내용을담고있다. 2017년 1월에는북한신년사내용을담고있는한글파일이발견되었다. 이때첨부된 HWP.exe 파일은다른악성코드를메모리에서실행하는로더 (Loader) 역할을한다. 최종적으로메모리에서실행되는악성코드 (md5: 6cec7de9d4797895775e2add9d6855ba) 와유사한변형이 2016년 11월에발견되었다 (md5: 42f216cc32cf2b14e6daea0816da8c50). 2017 년 2 월에는이력서로가장한한글문서에서이그룹의새로운백도어인도그콜 (Dogcall) 이발견되었으 며, 2017 년 10 월말과 11 월에는 DDE(Dynamic Data Exchange) 를이용한공격이진행되었다. 9 http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html AhnLab, Inc. All rights reserved. 6
[ 그림 2] DDE 를이용한악성 MS 워드문서 2017 년 11 월에는북한인권관련시민단체와관련된내용의한글파일은본문이 VBS 파일에연결되어있 다 (md5: 7ca1e08fc07166a440576d1af0a15bb1). 사용자가본문의텍스트를클릭하면 HncModuleUpdate.vbs 파일이실행되고악의적인기능이수행된다. [ 그림 3] 북한인권법관련문서에연결된 VBS 파일 AhnLab, Inc. All rights reserved. 7
2018 년 1 월말, 한국인터넷진흥원 (KISA) 인터넷침해사고대응센터 (krcert) 는플래시플레이어제로데이취약 점발견을공지했다. 그러나이보다앞선 2017 년 11 월에해당취약점을이용한공격이발생했으며, 관련 문서에는화장품가격에관한내용이담겨있었다. 2017 년 1 월발견된한글문서의경우, 북한신년사로위장한문서 (md5: 44bdeb6c0af7c36a08c64e31ceadc63c) 에실행파일이문서처럼삽입되어있었으며, 사용자가내용을보기 위해클릭할경우악성코드가실행된다. 한글파일은객체를삽입할경우, [ 그림 4] 와같이삽입된원본파일의경로를확인할수있다. 이를통해 악성코드제작자에대한정보를얻을수있다. [ 그림 4] 악성한글문서파일내포함된첨부파일경로 C:\Users\pad-2\AppData\Local\Temp\Hwp (3).exe \\192.168.100.22\saggazi\Happy\Work\2016.8~\2016.8.10~\( 대학이름 )\( 한국인이름 )2016.8.24\2017.1.1 메일 \Hwp.exe [ 표 3] 삽입된원본문서의경로 AhnLab, Inc. All rights reserved. 8
[ 그림 4] 에서볼수있는것처럼, 삽입된원본파일은사용자이름이 pad-2인시스템과네트워크로연결된폴더이름이사가지 (saggazi) 로시작되며한국어대학이름과한국인이름이포함된경로에서첨부되었음을알수있다. 사가지 (saggazi) 나한국어폴더이름으로미루어해당악성파일제작자는한국인혹은한국어에익숙한사람으로보인다. 레드아이즈공격그룹악성코드상세분석 레드아이즈공격그룹이사용하는악성코드유형은 [ 표 4] 와같이크게 4 가지로분류할수있다. 구분 Reloader (DocPrint) Reloaderx Redoor (DogCall) Wiper 내용다른악성코드를메모리에서실행하는로더 (Loader) 시스템의정보를수집하고추가파일을다운로드백도어 (Backdoor) 기능하드디스크내용을손상시킴 [ 표 4] 레드아이즈공격그룹의주요악성코드 1. Reloader (DocPrint) 리로더 (Reloader, DocPrint) 는다른악성코드를메모리에서실행한다. wscript.exe 를통해추가악성코드를메 모리에서실행한다. 실제악성코드는암호화되어있는데, 이후발견되는변형에서도비슷한암호해제코드 를사용한다. [ 그림 5] 대표적인암호해제코드 AhnLab, Inc. All rights reserved. 9
2. Reloaderx 리로덕스 (Reloaderx, md5: 6cec7de9d4797895775e2add9d6855ba) 는 2017 년북한신년사내용으로위장한 HWP 파일에포함된 DocPrint(md5: 0ff0f3f0722dd122a0f5c3d4c7752675, fc0a9850f7b6a91f7757d64c86cfc141) 를통해메모리에서실행된다. 해당악성코드는다음과같은시스템정보를수집하고, 추가악성코드를다운로드한다. - 컴퓨터이름 - 사용자이름 - 실행경로 - BIOS 모델 리로덕스변형은 2016 년 11 월에도발견되었으며, 이들변형이접속하는 C&C 서버주소는다음과같다. MD5 C&C 서버주소 9cd11aa7872f9cba98264113d3d72893 www.w****ush.co.kr/bbs/data/image/work/webproxy.php 9f1e60e0c794aa3f3bdf8a6645ccabdc www.belasting-telefoon.nl/images/banners/temp/index.php [ 표 5] Reloaderx 악성코드와 C&C 서버정보 3. Redoor (DogCall) 레드도어 (Redoor) 는도그콜 (Dogcall), 로크랫 (Rokrat) 등으로도알려져있으며, 2017년 2월에발견되었다. 로더역할을하는리로더 (Reloader) 가실행하는악성코드로, 리로더는 2017년 1월에는리로덕스 (Reloaderx) 를실행했지만 2017년 2월이후에는레드도어악성코드를실행했다. 2018년 3월현재까지자주사용되고있는백도어악성코드다. 4. Wiper 레드아이즈공격그룹이사용하는악성코드에는하드디스크내용을파괴하는것도존재한다. 해당악성코 드는실행되면하드디스크내용을파괴하고시스템을재부팅한후화면에 [ 그림 6] 과같이 Are you Happy? 라는메시지를출력한다. AhnLab, Inc. All rights reserved. 10
[ 그림 6] 하드디스크파괴후나타나는메시지 다른공격그룹과의연관가능성 앞서살펴본공격사례에서사용된한글문서를통해악성코드제작자의계정은 pad-2 이며, 악성코드제작 자는파일경로에 First, Happy, Work 등의문자열을사용하는특징이있음을확인했다. 이를토대로지난 2015 년과 2016 년에발생한공격과의잠재적인연관성을추론해볼수있다. [ 그림 7] 2015~2018 년발생한공격의유사성요약 AhnLab, Inc. All rights reserved. 11
1. 오퍼레이션프로감스바이미 (Operation ProgamsByMe, 2015 년 ) 오퍼레이션프로감스바이미 (Operation ProgamsByMe) 는 2015 년 7 월부터 2016 년 4 월사이에발생한공격으 로, 악성코드에 ProgamsByMe 라는문자열을포함하고있는것이특징이다. 여기에서 Progams 는프로그 램 (Program) 의단순오타인지의도적인것인지는알수없다. 이공격그룹은한글문서취약점을이용하거나유명프로그램업데이트파일로가장해공격대상에게메 일을발송했다. 또, 특정액티브엑스 (Active-X) 설치파일에악성코드를포함하여배포하기도했다. 지난 2015 년 5 월에는 ICT 기업에대한공격을시도했으며, 2015 년 12 월에는한글문서소프트웨어인한컴 오피스제품군의보안업데이트 ( 악성코드제거및패치업데이트 ) 파일로가장해공격을시도한사례도있 었다 (md5: 89c3254aa577d3788f0f402fe6e5a855). 10 [ 그림 8] 허위소프트웨어설치파일위장및공공기관사칭 2016 년 1 월에는 북수소폭탄게임의진실과대응책.hwp(md5: 06ae5d62d56f21cd2676989743b9626c) 로위 장한악성코드를배포했으며, 2016 년 2 월에는경찰청사칭 (md5: f793deeee9dc4235d228e68d27057dcc), 불 10 http://biz.khan.co.kr/khan_art_view.html?artid=201601181845251&code=920100 AhnLab, Inc. All rights reserved. 12
법복제프로그램조사프로그램으로위장한악성코드 (md5: d00e3196bc847e63fc4b255e8ab06d1c) 를제작해 배포했다. 이후 2016 년 3 월에는언론사를공격했으며, 키로거를추가로설치하기도했다. 시기 공격대상 주요사항 2015. 07 IT 기업 공격방식은확인되지않음 2016. 01 알려지지않음 한컴업데이트파일로가장 2016. 01 알려지지않음 북수소폭탄게임의진실과대응책.hwp 파일을이용해감염 2016. 02 알려지지않음 경찰, 불법복제소프트웨어점검프로그램사칭 2016. 04 알려지지않음 크롬 (Chrome) 설치판, 화면캡쳐프로그램으로위장 2016. 03 언론사 감염방법은확인되지않았으나, 키로거추가발견됨 [ 표 6] 오퍼레이션프로감스바이미주요공격사례 [ 표 6] 의공격에사용된악성코드에는 ProgamsByMe 라는 PDB 문자열을포함된것이특징이다. 이중레드 아이즈그룹의악성코드에서발견된 First, Happy, work 와같은문자열과 ~ 이포함된제작시점기입등 유사한특징을보인다. 오퍼레이션프로감스바이미그룹에서사용한악성코드종류는 [ 표 7] 과같다. PDB 내용 주요기능 Backdoor 백도어 CppUACSelfElevatrion 드롭퍼 (Dropper) - 다른악성코드를떨어뜨리며, 련결 과같은문자열을포 함하고있음 FirstUrlMon 다운로더 HwpConvert 악성 HWP 제작도구 Installer, InstallBD 다른악성코드를설치하는드롭퍼 (Dropper) Manager, Manager_Them 악성코드제어 KeyLogger, OffSM 키로거 PrivilegeEscalation 권한상승 ScreenCap 화면캡쳐 SoundRec 녹음 [ 표 7] 오퍼레이션프로감스바이비공격그룹의주요악성코드 공격자가사용한도구도발견되었는데, 공격대상을감시하기위한키로깅, 녹음, 화면캡쳐등의프로그램 을사용했다. 이밖에도오퍼레이션프로감스바이비에사용된일부악성코드에서다음과같은흥미로운점이발견되었다. AhnLab, Inc. All rights reserved. 13
어색한한국어메시지포함 2015 년 8 월에집중적으로제작및유포된드롭퍼는 PDB 에 CppUACSelfElevation.pdb 를포함하고있다. D:\TASK\ProgamsByMe(2015.1~)\HncUpdateUAC\C++\Release\CppUACSelfElevation.pdb 이드롭퍼는 [ 그림 9] 와같이 서버와의련결이실패하였습니다 라는오류메시지를보여주는데, 한국에서 사용하는 연결 이라는표현대신 련결 이라고표기하고있다 (md5: 9ac2ffd3f1cea2e01ed77c2e7b4a29e7). [ 그림 9] 어색한한국어메시지 ( 회색표시부분 ) 공격자내부도구로추정되는프로그램 공격자의내부도구로추정되는프로그램도발견되었다. 공격자는한글파일에악성코드를포함하기위해 툴을사용했다 (md5: 2f0492f53d348bea993b7ae5983508a6). AhnLab, Inc. All rights reserved. 14
[ 그림 10] 악성 HWP 파일생성기 이프로그램은다음과같은특징적인 PDB 를포함하고있다. D:\TASK\ProgamsByMe(2015.1~)\ShellCode\Debug\HwpConvert.pdb 공격자가이용한것으로보이는관리프로그램도발견되었다 (md5: 5ef03b48b4ae68c572028c72572444d2). AhnLab, Inc. All rights reserved. 15
[ 그림 11] 공격자의관리프로그램 해당프로그램은다음과같은 PDB 내용을포함하고있다. E:\task\ProgamsByMe(2015.1~)\EXE_AND_SERVICE\EXE_AND_SERVICE\Release\Manager.pdb 공격자가사용한또다른관리프로그램인 Manager_Them(md5: 49d30adaab769fbea2ef69e09c6598c5) 의프 로그램이름은 Manager Of Zombies Version 1.0 이며, [ 그림 12] 의프로그램정보에서볼수있는것처럼자 신들을 Team 으로표기하고있다. AhnLab, Inc. All rights reserved. 16
[ 그림 12] 공격자가사용한관리프로그램 2. Pad-1 사용자제작악성코드 (2016 년 ) 2017년유포된북한신년사관련내용으로위장한문서 (md5: 44bdeb6c0af7c36a08c64e31ceadc63c) 의내부를살펴본바에따르면파일을첨부한사용자이름이 pad-2이다. 그런데, 사용자이름이 pad-1인시스템에서제작한악성코드가 2016년 12월에서 2017년 1월사이에발견되었다. pad-1이라는이름의시스템에서제작된악성코드의 PDB 내용은 C:\Users\pad-1\Documents\Visual Studio 2015\Projects\ConsoleApplication9\Release\ConsoleApplication9.pdb 등이다. [ 그림 13] 사용자이름이 pad-1 인시스템에서제작된악성코드 AhnLab, Inc. All rights reserved. 17
사용자이름이 pad-1 시스템과관련된악성코드는 [ 표 8] 과같이크게 4 가지종류로분류할수있다. PDB 내용 ConsoleApplication5 ConsoleApplication9 ConsoleApplication12 없음 기능외부파일 Loader 악성코드내장 Loader 특정포트 LISTENING 시스템정보수집및화면캡쳐 - PDB 정보는없지만동일한쉘코드에서생성됨 [ 표 8] pad-1에서제작된주요악성코드 ConsoleApplication5.pdb 의변형 (md5: f0a5385d0d9f7c546b25a7448ca5b1c9) 은 2016 년 12 월 http://www.i***.com/admin/data/bbs/review2/im/jquery_min_1.5.1.js 에서다운로드되었다. i***.com 은레드아 이즈그룹이 2017 년 1 월과 3 월공격에사용한웹사이트주소와동일하다. 공격자는 jquery_min_1.5.1.js, jquery_min_2.2.2 등의이름으로악성파일을배포했으며, 제조업체등에서해 당악성코드에감염된것으로확인되었다. 샘플 MD5 배포주소 f0a5385d0d9f7c546b25a7448ca5b1c9 http://www.i**z.com/admin/data/bbs/review2/im/jquery_min_1.5.1.js 8b55d52b12cf319d9785ad8eeeade5ea http://dr-*****s.com/admin/data/banner/jquery_min_1.5.1.js 2fdbb9a500143a2dd3d226a1cc3e45b5 http://dr-*****s.com/admin/data/banner/jquery_min_2.2.2.js [ 표 9] ConsoleApplication5.pdb 변형관련정보 ConsoleApplication9.pdb 를가진악성코드는아래의주소에서파일을다운로드한다. 샘플 MD5 배포주소 2fdbb9a500143a2dd3d226a1cc3e45b5 http://dr-v****s.com/admin/data/banner/jquery_min_2.2.2.js [ 표 10] ConsoleApplication9.pdb 악성코드정보 PDB 정보는존재하지않지만 pad-1 문자열을가진악성코드와동일한암호해제코드에서나온악성코드 는시스템정보수집및화면캡쳐기능을가지고있다 (md5: f613c9276d0deb19d0959aa2fbfc737c). 이악 성코드의변형은 2017 년가을까지약 9 개가발견되었다. AhnLab, Inc. All rights reserved. 18
안랩제품의대응현황 안랩의안티멀웨어프로그램인 V3 제품군에서는레드아이즈공격그룹의악성코드를다음과같은진단명 으로탐지및치료하고있다. <V3 제품군진단명 > - Trojan/Win32.Agent (2017.02.07.00) - Trojan/Win32.Backdoor (2015.08.01.00) - Trojan/Win32.Reloaderx (2016.11.06.00) 등 결론 레드아이즈 (Red Eyes) 는 2016년에가을에나타난공격그룹으로, 최근이목이집중되고있다. 다양한공격방식을사용하고있으며악성코드내에 First, Happy, Work 등의문자열을갖고있는것이특징이다. 이공격그룹은 2015년오퍼레이션프로감스바이미 (Operation ProgamsByMe) 의공격그룹과동일한그룹이거나직 간접적으로연관되었을가능성이있다. 시기적으로 2015년과 2016년봄까지왕성하게활동하던공격그룹의움직임이사라진후 2016년가을에발견되었다. 만약연관성이있다면레드아이즈공격그룹은 2015년, 혹은그이전부터한국에서활동해온것으로짐작할수있다. 이공격그룹의악성코드에서공격자의추가적인정보를얻을수있었는데, 동일한소스코드를사용한것으로보이는악성코드의컴파일경로가각기다르다는점에서여러명의악성코드제작자가존재하는것으로추측할수있다. 현재레드아이즈공격그룹은한국뿐만아니라다른나라에도공격을시도하고있어향후이공격그룹의 움직임을지속적으로주시할필요가있다. AhnLab, Inc. All rights reserved. 19
Appendix 참고자료 [1] Korean MalDoc Drops Evil New Years Presents (http://blog.talosintelligence.com/2017/02/korean-maldoc.html) [2] Introducing ROKRAT (http://blog.talosintelligence.com/2017/04/introducing-rokrat.html) [3] ROKRAT Reloaded (http://blog.talosintelligence.com/2017/11/rokrat-reloaded.html) [4] Korea In The Crosshairs (http://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html) [5] Flash 0-Day In The Wild: Group 123 At The Controls (http://blog.talosintelligence.com/2018/02/group-123-goes-wild.html) [6] APT37 (Reaper): The Overlooked North Korean Actor (https://www.fireeye.com/blog/threat-research/2018/02/apt37- overlooked-north-korean-actor.html) [7] Threat Analysis ROKRAT Malware (https://www.carbonblack.com/2018/02/27/threat-analysis-rokrat-malware) [8] 한글파일공격분석 공격자뭘노렸나 (http://www.ahnlab.com/kr/site/securityinfo/secunews/secunewsview.do?seq=27234) [9] 무명의악성코드분석가들, Personal Communication 추가정보 2015년부터 2016년까지활동한오퍼레이션프로감스바이미 (Operation ProgamsByMe) 에서사용된악성코드의 PDB 정보는다음과같다. C:\Users\Naughty Develop\Desktop\New Backdoor2.5-with-cmd-resource\New Backdoor2.3\Release\Backdoor.pdb D:\FirstBackDoor(2015_1_10)\FirstBackDoor(2015_1_10)\Release\FirstUrlMon.pdb D:\TASK\ProgamsByMe(2015.1~)\2010Main\EXE_AND_SERVICE\Release\Manager.pdb D:\TASK\ProgamsByMe(2015.1~)\FirstBackDoor(2015_7_24)\Release\office.pdb D:\TASK\ProgamsByMe(2015.1~)\FirstBackdoor(2015_7_24)\Release\PrivilegeEscalation.pdb D:\TASK\ProgamsByMe(2015.1~)\Happy\2010PHV2\EXE_AND_SERVICE\Release\KeyLogger.pdb D:\TASK\ProgamsByMe(2015.1~)\Happy\2010PHV2\EXE_AND_SERVICE\Release\ScreenCap.pdb D:\TASK\ProgamsByMe(2015.1~)\HncUpdateUAC\C++\Release\CppUACSelfElevation.pdb D:\TASK\ProgamsByMe(2015.1~)\HncUpdateUAC\C++\Release\Installer.pdb D:\TASK\ProgamsByMe(2015.1~)\HncUpdateUAC\C++\Release\Manager_Them.pdb D:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\KeyLogger_ScreenCap_Manager\Release\SoundRec.pdb D:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\KeyLogger_ScreenCap_Manager\Release\Manger.pdb D:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\KeyLogger_ScreenCap_Manager\Release\ScreenCap.pdb D:\TASK\ProgamsByMe(2015.1~)\ShellCode\Debug\HwpConvert.pdb D:\TASK\ProgamsByMe(2015.1~)\ShellCode\Release\UACTest.pdb E:\Task\ProgamsByMe(2015.1~)\EXE_AND_SERVICE\EXE_AND_SERVICE\Debug\Manager.pdb AhnLab, Inc. All rights reserved. 20
E:\task\ProgamsByMe(2015.1~)\EXE_AND_SERVICE\EXE_AND_SERVICE\Release\TransProxy.pdb N:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\Installer\Release\Installer.pdb N:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\New Backdoor2.4\Release\InstallBD.pdb P:\PH2015_2.2\New Backdoor2.2\New Backdoor2.2\Release\CppUACSelfElevation.pdb P:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\New Backdoor2.3\Release\InstallBD.pdb T:\TASK\ProgamsByMe(2015.1~)\MyWork\Relative Backdoor\New Backdoor2.3-with-cmd-resource\New Backdoor2.3\Release\Backdoor.pdb z:\work\4th\plugin\offsm\release\offsm.pdb Z:\work\4th\plugin\SM\Release\SM.pdb Z:\work\n1st\Agent\Release\HncUp.pdb Z:\work\n1st\Agent\Release\PotPlayerUpdate.pdb AhnLab, Inc. All rights reserved. 21