NavRAT, 북미 정상회담을 대한민국 사이버 공격을 위한 미끼로 사용

NavRAT, 북미 정상회담을 대한민국 사이버 공격을 위한 미끼로 사용

 

이 블로그 게시물은 안정수님의 도움을 받아 워렌 머서(Warren Mercer)와 폴 라스카네어(Paul Rascagneres)가 공동으로 작성했습니다.

 

 

요약

 

Talos는 한국인 사용자들을 목표로 한 새로운 악성 HWP(한글 워드 프로세서) 문서를 발견하였습니다. 해당 악성 문서를 열면 "NavRAT"라고 하는 원격 접근 트로이 목마 바이러스가 다운로드 되고, 이것은 피해 시스템에서 명령 실행 등을 포함하여 다양한 동작을 수행하며 키로깅 기능을 가지고 있는 것으로 파악됩니다.

 

미끼 역할을 하는 문서 이름은 "미북 정상회담 전망 대비.hwp" (Prospects for US-North Korea Summit.hwp)입니다. HWP 파일 형식은 주로 한국에서 사용되고 있습니다. 대상 시스템에서 악성 쉘코드를 실행하기 위해 EPS(Encapsulated PostScript) 개체가 문서 내에 포함되어 있습니다. 이렇게 한 목적은 손상된 웹사이트인 NavRAT에 호스팅된 추가 페이로드를 다운로드하여 실행하도록 하기 위한 것입니다.

 

이러한 방식은 명령을 피해 시스템에 다운로드, 업로드하여 실행하고 결국 키로깅을 수행하는 전형적인 RAT 공격 방식입니다. 하지만 명령과 제어(C2) 인프라가 매우 구체적입니다. 즉 이메일을 통해 공격자와 통신하기 위해 합법적인 네이버 이메일 플랫폼을 사용합니다. 업로드된 파일은 이메일로 전송하고, 다운로드된 파일은 이메일 첨부파일로 가져옵니다. 무료 이메일 플랫폼을 사용하는 맬웨어를 이미 목격하였지만, 한국에서 유명한 네이버를 사용하여 맬웨어를 파악하는 경우는 이번이 처음입니다.

 

가장 흥미로운 문제 중 하나는 그 출처 즉 이 맬웨어 배후에 누가 있느냐는 것입니다. 예전에 우리는 Group123에 관한 몇 개의 기사를 발행한 바 있습니다. 우리는 현재 이 공격활동과 NavRAT가 Group123와 연결되어 있다는 절반 정도의 확신을 가지고 있습니다.

 

 

악성 문서

 

디코이 문서

 

이 공격은 "미북 정상회담 전망 및 대비.hwp" (Prospects for US-North Korea Summit .hwp)라는 제목의 HWP 문서가 포함된 스피어 피싱 이메일로 시작됩니다. 이는 6월 12일에 개최될 가능성이 있는 정상회담을 언급하고 있으며, 문서의 스크린샷은 다음과 같습니다.

 

 

 

이 문서는 비핵화에 초점을 맞출 것으로 예상되는 미국과 북한 간 정상회담에 대비한 우려사항을 설명하고 있습니다. 이 정상회담은 2018년 4월 27일 남북한 사이의 “한반도의 평화와 번영, 통일을 위한 판문점 선언”에 대한 북한의 최근 후속적 외교 조치입니다.

 

이 문서에는 위에서 언급한 EPS 개체가 포함되어 있습니다. 이 개체는 시스템에서 악성 쉘코드를 실행하기 위해 사용되는데, 이는 HWP 문서를 사용할 때 공격자들의 공통 벡터로 보이는데, 우리가 앞서 접하고 설명했던 내용입니다.

 

 

악성 코드

 

악성 문서에 관한 이전의 기사에서 이미 언급한 바와 같이, 공격자의 관점에서는 EPS가 효과적입니다. EPS는 강력한 스택 기반 스크립트 언어로서 악의적으로 사용할 경우 추가적 페이로드를 얻기 위해 남용될 수도 있습니다. 파일 내용은 다음과 같습니다.

 

/shellcode <90909090909090909090E800<...redacted…>4D2D6DC95CBD5DC1811111111111111> def

<7B0D0A2756...redacted…>312067657420636C6F736566696C650D0A717569740D0A7D>

token pop exch pop

Exec

 

쉘코드를 실행하면 먼저 인터넷에서 추가 페이로드를 다운로드 하도록 설계된 디코딩 루틴이 수행됩니다. 이 경우 파일 URI는 다음과 같았습니다.

  

hxxp://artndesign2[.]cafe24[.]com:80/skin_board/s_build_cafeblog/exp_include/img.png

 

이 웹사이트는 합법적인 한국 웹사이트입니다. 최종 페이로드를 대상 시스템에 전달하기 위해 이 웹사이트가 훼손된 것으로 추정됩니다. 이는 예전에 한반도에 초점을 맞춘 공격에서 우리가 목격했던 방법입니다.

 

이미지가 직접 다운로드 되고 쉘코드가 로드 되어 메모리에서 실행됩니다. 이것은 악성 프로세스를 피해 시스템의 메모리 내에서만 실행하는 파일 없는 실행(fileless execution) 방식의 예입니다. 그 목적은 아래 경로를 사용하여 디코딩된 실행파일을 드롭하여 실행하기 위한 것입니다.

 

%APPDATA%\Local\Temp\~emp.exe

 

NavRAT는 실행되고 나면 즉시 cmd.exe를 사용하여 실행 중인 시스템에서 systeminfo 및 tasklist 체크를 수행하고, 출력결과를 TMP 파일에 기록하고 다시 한 번 AhnLab 폴더 내에 숨으려는 시도를 합니다. 흥미롭게도 공격자는 해당 단일 TMP 파일에 여러 출력결과가 기록될 수 있도록 >> 방법을 사용하여 파일에 추가했습니다.

 

"C:\Windows\system32\cmd.exe" /C systeminfo >> "C:\Ahnlab\$$$A24F.TMP"

 

"C:\WINDOWS\system32\cmd.exe" /C tasklist /v >> "C:\Ahnlab\$$$A24F.TMP"

 

 

NavRAT

 

기능

 

NavRAT는 파일을 업로드, 다운로드하고 실행하는 원격 접근 트로이 목마(remote access trojan, RAT) 바이러스입니다. 분석된 샘플에는 많은 자세한 정보 로그가 포함되어 있습니다. 맬웨어 작성자는 모든 동작을 파일에 로깅합니다 (인코딩됨). 분석을 촉진함으로써 우리가 연구를 쉽게 하도록 공격자의 자체 로깅 기능을 사용하는 것이 가능한 경우는 흔하지 않습니다.

 

 

이 스크린샷은 API를 사용한 프로세스 인젝션 동안의 로그 메시지를 표시하고 있습니다.

 

NavRAT는 스스로(~emp.exe)를 %ProgramData%\Ahnlab\GoogleUpdate.exe 경로에 복사함으로써 시작하며, 한국의 유명한 보안 업체인 AhnLab의 경로를 사용합니다. 그리고 나서 NavRAT는 다음 번 시스템 재부팅 시에 이 파일 복사를 실행하기 위해 레지스트리 키를 생성하는데 이것이 잠복을 위한 최초 방법입니다. 앞서 언급한 로그 파일은 피해 시스템에서 NavRAT와 동일한 디렉터리에 저장되며, 다시 우리가 추가 로그 파일을 찾아서 분석하는 것을 쉽게 만듭니다.

 

NavRAT는 프로세스 인젝션을 지원합니다. 이 방법을 사용함으로써, 독립적 프로세스로 실행할 때 감지되는 것을 피하기 위해 자신을 실행 중인 Internet Explorer 프로세스에 복사합니다. 맬웨어는 키스트로크를 대상 사용자 시스템에 등록할 수 있습니다.

 

 

이 RAT의 가장 흥미로운 부분은 C2 서버 아키텍처입니다. 맬웨어가 운영자와 통신하기 위해 네이버 이메일 플랫폼을 사용합니다.

 

 

명령 및 제어

 

맬웨어는 운영자와 통신하기 위해 네이버와 통신합니다. 자격 증명이 샘플에 하드코드됩니다.

 

 

하지만 우리가 조사하는 동안에는 NavRAT가 이메일 주소로 통신할 수 없습니다.

 

[05/30/2018, 17:39:45]  NaverUpload Start!!

[05/30/2018, 17:39:46]  NaverUpload :PreUploading success

[05/30/2018, 17:39:46]   uploading step-1 : HttpSendRequest failed. Err[12150]

[05/30/2018, 17:39:46]  ////////////// Response Headers getting failure //////////

[05/30/2018, 17:39:46]  NaverUpload :Uploading failed. Try[0]

[05/30/2018, 17:39:47]   uploading step-1 : HttpSendRequest failed. Err[12150]

[05/30/2018, 17:39:47]  ////////////// Response Headers getting failure //////////

[05/30/2018, 17:39:47]  NaverUpload :Uploading failed. Try[1]

[05/30/2018, 17:39:48]   uploading step-1 : HttpSendRequest failed. Err[12150]

[05/30/2018, 17:39:48]  ////////////// Response Headers getting failure //////////

[05/30/2018, 17:39:48]  NaverUpload :Uploading failed. Try[2]

[05/30/2018, 17:39:49]   uploading step-1 : HttpSendRequest failed. Err[12150]

[05/30/2018, 17:39:49]  ////////////// Response Headers getting failure //////////

[05/30/2018, 17:39:49]  NaverUpload :Uploading failed. Try[3]

[05/30/2018, 17:39:51]   uploading step-1 : HttpSendRequest failed. Err[12150]

[05/30/2018, 17:39:51]  ////////////// Response Headers getting failure //////////

[05/30/2018, 17:39:51]  NaverUpload :Uploading failed. Try[4]

[05/30/2018, 17:39:52]  UploadProc : UploadFile Err

[05/30/2018, 17:39:52]  PreCommProc : UploadProc failed

 

 

통신이 안 되는 것은 네이버가 구현한 보호 조치 때문이었습니다. 맬웨어가 너무 많은 나라에서 실행되고 있는 것으로 추정되며, 계정이 현재는 잠겨 있습니다.

 

 

 

 

계정 정보를 제공하거나 또는 소유자의 휴대전화(전화번호는 영국에 위치함)를 사용하여 암호를 재설정해야 합니다. 현재는 NavRAT가 정상적으로 작동할 수 없는 상태입니다. 네이버가 이 보호 조치를 구현한 것을 맬웨어의 소유자가 모르는 것으로 추정됩니다.

 

NavRAT는 수신된 이메일 첨부파일에 위치한 파일을 다운로드하여 실행할 수 있습니다. 이메일을 제거할 수 있고 결국에는 네이버 계정을 통해 이메일을 전송할 수도 있습니다. 여기 예에서 데이터 전송을 시도하는 목적지는 다음과 같습니다 - chioekang59@daum[.]net.

 

 

 

과거 기록

 

우리는 조사 과정에서 NavRAT의 추가적 샘플을 찾으려고 시도하였는데, 2016년 5월에 작성된 오래된 샘플만 파악하였습니다. 이 경우와 마찬가지로, 이 오래된 샘플에서도 로그 파일 저장을 위해 가짜 AhnLab 디렉터리를 사용했습니다(C:\AhnLab\). 이 버전에서는 컴파일 경로가 제거되지 않았습니다.

 

N:\CodeProject\VC_Code Project\Attack_Spy\mailacounts.com\src_total_20160430 - v10.0(DIV)\bin\PrecomExe(Win32).pdb

 

우리는 NavRAT가 2016년 이후로 존재하는 했다는 결론을 내릴 수 있으며, 현재는 버전 10이라고 생각됩니다. 공격자는 몇 년 동안 잠복하고 있는 것으로 보입니다. 이 맬웨어는 간헐적으로 매우 특정한 대상에 대해서만 사용하고 있다고 추정합니다.

 

 

Group123 링크?

 

한국의 맬웨어 상황을 추적할 때 우리는 항상 Group123과의 연결 가능성에 관한 핵심적 질문을 받습니다. 우리는 이 그룹이 사용했던 이전의 TTP를 근거로 Group123의 관여를 암시하는 일부 관련 포인트를 파악하였는데, 이는 절반 정도의 확신으로 말하는 내용입니다.

 

공격 수법이 이전의 Group123 공격방식과 동일합니다. 악성 쉘코드가 포함된 EPS 개체가 HWP 문서에 내장되어 있습니다. 내장된 개체의 쉘코드의 목적은 이미지 즉 내장된 실행파일 디코딩에 사용될 새로운 쉘코드를 다운로드 하는 것입니다. 우리는 Group123이 이전의 공격에서 정확히 동일한 방법을 사용하는 것을 보았습니다. 그 한 가지 예가 ROKRAT인데, 이것은 한반도를 목표로 하는 또 하나의 원격 접근 트로이 목마로서 우리가 2017년 4월에 발견하였습니다.

 

EPS 개체에 사용된 쉘코드가 완전히 동일하지는 않지만 사용된 명령의 수, NOP (No Operations) 수량 및 거의 동일한 명령 레이아웃 등 많은 유사성이 포함되어 있습니다. (좌측에 NavRAT가 있고 우측에는 ROKRAT의 쉘코드입니다).

 

 

우리는 다운로드한 이미지 파일에 있는 쉘코드에 대해 동일한 분석을 수행하였는데, 쉘코드가 완전히 동일하지는 않지만 디자인이 매우 유사합니다.

 

또한 피해자 형태와 공용 클라우드 플랫폼을 C2 서버로 사용한 것도 추가할 수 있습니다. 공격자는 단순히 Yandex, Pcloud, Mediafire, Twitter에서 이동하였고 지금은 네이버를 사용하고 있습니다. 이 플랫폼은 주로 한국 현지에서 사용되고 있습니다. 이 플랫폼에 대한 연결을 악의적 활동으로 식별할 수는 없습니다. 악성 트래픽은 글로벌 플로우에 숨겨져 있습니다.

 

이 모든 요소들 때문에 NavRAT 및 이 공격활동이 Group123에 연결될 수 있다고 판단하는 것이며, 이는 우리가 중간 정도의 확신으로 말하는 것입니다. 맬웨어 개발자가 Group123 작업팀 내의 다른 사람일 가능성이 있지만, 감염 프레임워크와 작동 방식이 동일합니다. Talos가 올림픽 파괴자(Olympic Destroyer)를 발표했을 때 우리는 많은 거짓 플래그가 사용된 것을 볼 수 있었습니다. NavRAT을 살펴볼 때 다른 단체의 소행이라고 유추할 수 있는 그와 같은 의도적이고 명확한 수준의 IOC/거짓 플래그 시나리오가 보이지 않습니다. NavRAT에는 그와 같이 명확하지 않은 거짓 플래그가 없으므로, 우리는 이것이 Group123 공격자들과 연결되어 있다고 믿습니다.

 

 

결론

 

한국은 여전히 그리고 앞으로도 계속 공격자들의 매력적 대상으로 지속될 것입니다. 이 지역에는 비밀스러운 북한과 보다 개방적인 한국 간의 분단으로 인해 발생하는 지정학적 관심이 있습니다. 이 공격 캠페인에서 공격자들은 예전에 알려지지 않았던 맬웨어 NavRAT를 다운로드하여 실행하기 위해 전형적인 HWP 문서를 사용했습니다. 저자는 디코이 문서를 작성하기 위해 실제 이벤트를 사용했습니다. 대상자들이 열어 보도록 유인하기 위해 미국-북한 정상회담을 선택하였던 것입니다.

 

이 접근법은 우리가 지난 약 18개월 동안 관찰하고 기록했던 Group123 공격 기법과 유사합니다. 즉 쉘코드에 유사성이 포함되어 있고, 최종 페이로드가 훼손된 웹사이트에 호스팅된 이미지에 위치한 악성 쉘코드이고, 작성자가 개방형 플랫폼을 C2 서버로 사용하고 있습니다. 이 경우 NavRAT는 이메일 제공업체인 네이버를 활용했지만 ROKRAT은 예전에 클라우드 제공업체를 활용했습니다. 마지막으로 피해자 형태와 대상 지역이 동일합니다. 이러한 모든 요소들이 NavRAT와 ROKRAT 간에 명백한 연결 증거는 아닙니다. 하지만 우리는 중간 수준의 확신으로 NavRAT이 Group123에 연결되어 있다고 생각합니다.

 

공격자의 관점에서는 잘 알려진 현지 클라우드/이메일 서비스 제공업체를 활용하는 것이 현명합니다. 합법적인 트래픽 중간에서 악성 트래픽을 식별하는 것은 정말로 어렵습니다. 이 경우 이메일 서비스 제공자는 너무 많은 다양한 국가에서 메일 박스에 접속하려는 시도가 있었기 때문에 계정을 잠갔습니다. 우리는 몇 개의 퍼블릭 샌드박스 시스템에서 샘플을 식별하였으며, 이 샌드박스에서 여러 연결 시도가 수행되었다고 가정합니다.

 

 

대응

 

고객이 위협을 탐지하고 차단하는 데 유용한 기타 솔루션은 다음과 같습니다.

 

 

 

AMP(Advanced Malware Protection)는 사이버 공격자가 사용하는 악성 프로그램이 실행되는 것을 방지하는 데 이상적입니다.

 

CWS 또는 WSA 웹 검사 솔루션은 악성 웹사이트에 대한 접속을 방지하고 이 공격 수법에 사용되는 악성 프로그램을 탐지합니다.

 

Email Security는 해커가 공격의 일환으로 보낸 악성 이메일을 차단할 수 있습니다.

 

NGFW, NGIPS, Meraki MX와 같은 Network Security 어플라이언스는 이런 위협과 연계된 악의적 활동을 탐지할 수 있습니다.

 

AMP Threat Grid는 악성 바이너리를 식별하고 모든 Cisco 보안 제품에 보호 기능을 구축하는 데 효과적입니다.

 

Talos의 인터넷 보안 게이트웨이(SIG)인 Umbrella는 사용자가 회사 네트워크 안팎에서 악성 도메인, IP 및 URL에 연결하는 것을 방지합니다.

 

Open Source Snort Subscriber Rule Set 고객은 Snort.org에서 최신 팩을 구매해 다운로드 함으로써 최신 상태를 유지할 있습니다.

 

 

IOC

 

악성 HWP: e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574

 

NavRAT: 4f06eaed3dd67ce31e7c8258741cf727964bd271c3590ded828ad7ba8d04ee57

 

온라인 페이로드:  hxxp://artndesign2[.]cafe24[.]com:80/skin_board/s_build_cafeblog/exp_include/img.png

 

2016 NavRAT 샘플:

 

e0257d187be69b9bee0a731437bf050d56d213b50a6fd29dd6664e7969f286ef