얼마 전, 북한 지원 공격자들이 사용했던 것으로 보여지는 피싱 메일 생성/전송 프로그램을 입수했다. 매우 신기해서 분석해봤다.
일단, 메일 전송 프로그램은 아래 그림처럼 생겼다. 특이점으로는 "오유", "프로그람" 이라는 북한식 말을 사용하고 있다는 점이다. 또, 버전이 10.0인 것을 보면 해당 프로그램이 이전에도 여러 버전이 있었을 것으로 보여진다. 메일 전송시에 base64 인코딩이나 난독화 등을 수행할 것인지에 대한 체크 박스도 존재한다.
실제로 전송이 되나 궁금해서 개인 메일로 테스트를 진행해봤는데, 전송 이후에는 "메일전송이 완료되였습니다" 라는 문구가 나타난다.
메일 서버에서 걸러진 것인지는 모르지만, 실제로 메일이 도착되지는 않았다. 만약 메일이 실제로 전송된다면 아래 두 링크 중 하나를 선택해서 메일을 전송할 수 있다.
- http://gunsanvill[.]co[.]kr/skin/visit/basic/notice.php
- http://jeilhospital1[.]cafe24[.]com/skin/visit/basic/notice.php
한 사이트 한 사이트를 살펴보면 아래와 같이 숙소 페이지, 병원 사이트가 나타난다. 북한 공격자는 해당 페이지들을 침해해서 원하는 피싱 페이지를 올려두고 메일 전송 프로그램을 이용해 전송한 것으로 보인다.
실제로 현재(2024.04.23)도 해당 피싱 파일이 완전히 차단/처리되진 않은 것으로 보인다. 아래와 같이 페이지 접속 시, 내용은 없지만 페이지는 나타난다.
다시 메일전송 프로그램으로 돌아오면, 해당 프로그램에는 자동 전송 모드도 존재한다. 심지어 자동 전송 모드에는 대용량 타겟을 지정할 수 있는 것으로 보여진다. 메일 제목/피싱 URL 등을 바꿀 수 있는 것은 물론 전송 IP와 나라도 조작할 수 있게끔 되어있다. 또한, 메일 본문에 사용할 html 파일도 커스텀 설정이 가능하다.
또한, Attack Method 에 해당하는 값을 변경하면 프로그램이 포함하고 있는 공격 샘플 파일로 자동으로 변경되면서 "새로운 전자문서가 도착했습니다.", "2단계 인증을 위한 애플리케이션 비밀번호 생성됨" 등 그에 맞춰 메일명도 변경된다.
실제 메일이 전송되는 동작을 보지는 못했지만, 해당 프로그램이 존재하는 것으로도 최근 APT 그룹 공격자들의 공격 방식을 대략적으로 알 수 있다. APT 그룹 공격자들도 마치 하나의 해킹팀이 활동하듯이 공격을 수행한다는 것이다. 최소한 두 개의 팀으로 나뉘어서 활동하는 것으로 볼 수 있다. 공격 도구 개발팀 / 공격 수행팀 이다. 공격 도구 개발팀에서 위 메일전송 프로그램 같은 공격 도구를 개발하면 공격 수행팀에서 해당 도구를 활용해 공격을 수행하는 형태로 보여진다. 심지어 버전이 10인 것을 보면 이러한 공격 방식은 이전부터 지속되었던 것으로 보여진다.
---
메일 수신이 가능했을 때 및 피싱 서버가 살아있을 때 분석 내용은 아래 블로그에 잘 나와있습니다.
https://wezard4u.tistory.com/6795
'Analysis' 카테고리의 다른 글
| 69. Kimsuky's lnk malware attack method (0) | 2024.04.15 |
|---|---|
| 68. Kimsuky Correlation (Disguised Korean Public Institution) (0) | 2024.03.28 |
| 67. Xworm V5.2 (0) | 2024.02.29 |
| 66. BianLian ransomware (0) | 2024.02.06 |
| 65. Kimsuky's 트레이딩 스파르타코스 강의안-100불남(2차) (0) | 2024.01.23 |
