본문 바로가기
Analysis

70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0)

p3ngdump 2024. 4. 23. 20:30

얼마 전, 북한 지원 공격자들이 사용했던 것으로 보여지는 피싱 메일 생성/전송 프로그램을 입수했다. 매우 신기해서 분석해봤다.

 

일단, 메일 전송 프로그램은 아래 그림처럼 생겼다. 특이점으로는 "오유", "프로그람" 이라는 북한식 말을 사용하고 있다는 점이다. 또, 버전이 10.0인 것을 보면 해당 프로그램이 이전에도 여러 버전이 있었을 것으로 보여진다. 메일 전송시에 base64 인코딩이나 난독화 등을 수행할 것인지에 대한 체크 박스도 존재한다.

메일 전송 프로그램

 

실제로 전송이 되나 궁금해서 개인 메일로 테스트를 진행해봤는데, 전송 이후에는 "메일전송이 완료되였습니다" 라는 문구가 나타난다.

전송 완료 모습

 

메일 서버에서 걸러진 것인지는 모르지만, 실제로 메일이 도착되지는 않았다. 만약 메일이 실제로 전송된다면 아래 두 링크 중 하나를 선택해서 메일을 전송할 수 있다.

- http://gunsanvill[.]co[.]kr/skin/visit/basic/notice.php

- http://jeilhospital1[.]cafe24[.]com/skin/visit/basic/notice.php

 

한 사이트 한 사이트를 살펴보면 아래와 같이 숙소 페이지, 병원 사이트가 나타난다. 북한 공격자는 해당 페이지들을 침해해서 원하는 피싱 페이지를 올려두고 메일 전송 프로그램을 이용해 전송한 것으로 보인다.

gunsanvill[.]co[.]kr 페이지
jeilhospital1[.]cafe24[.]com 페이지

 

 

실제로 현재(2024.04.23)도 해당 피싱 파일이 완전히 차단/처리되진 않은 것으로 보인다. 아래와 같이 페이지 접속 시, 내용은 없지만 페이지는 나타난다.

페이지 접속 화면

 

다시 메일전송 프로그램으로 돌아오면, 해당 프로그램에는 자동 전송 모드도 존재한다. 심지어 자동 전송 모드에는 대용량 타겟을 지정할 수 있는 것으로 보여진다. 메일 제목/피싱 URL 등을 바꿀 수 있는 것은 물론 전송 IP와 나라도 조작할 수 있게끔 되어있다. 또한, 메일 본문에 사용할 html 파일도 커스텀 설정이 가능하다.

또한, Attack Method 에 해당하는 값을 변경하면 프로그램이 포함하고 있는 공격 샘플 파일로 자동으로 변경되면서 "새로운 전자문서가 도착했습니다.", "2단계 인증을 위한 애플리케이션 비밀번호 생성됨" 등 그에 맞춰 메일명도 변경된다.

메일 전송 프로그램 기능

 

실제 메일이 전송되는 동작을 보지는 못했지만, 해당 프로그램이 존재하는 것으로도 최근 APT 그룹 공격자들의 공격 방식을 대략적으로 알 수 있다. APT 그룹 공격자들도 마치 하나의 해킹팀이 활동하듯이 공격을 수행한다는 것이다. 최소한 두 개의 팀으로 나뉘어서 활동하는 것으로 볼 수 있다. 공격 도구 개발팀 / 공격 수행팀 이다. 공격 도구 개발팀에서 위 메일전송 프로그램 같은 공격 도구를 개발하면 공격 수행팀에서 해당 도구를 활용해 공격을 수행하는 형태로 보여진다. 심지어 버전이 10인 것을 보면 이러한 공격 방식은 이전부터 지속되었던 것으로 보여진다.

 

---

 

메일 수신이 가능했을 때 및 피싱 서버가 살아있을 때 분석 내용은 아래 블로그에 잘 나와있습니다.

https://wezard4u.tistory.com/6795

 

 

--- 추가

 

메일 수신이 안되었었다고 생각했는데, 네이버 메일 스팸함에 들어가보니 도착했었던 것을 확인했다. (자체적으로 내용을 test 등으로 바꿔서 보냈다.)

도착한 메일

 

메일 헤더를 분석해보면 ARC-Seal, ARC-Message-Signature, ARC-Authentication-Results 등이 설정되어 있는 것을 볼 수 있다.

메일 헤더 중 일부

 

하지만 SPF와 관련된 값들은 temperror 로 표시되는 것을 볼 수 있다. SPF 판정이 temperror 이기 때문에 보낸 메일들이 정상적으로 수신되지 않았던 것 같기도 하다. 이외에 boundary 값이나 특정할만한 값들을 찾아보았지만 관련된 값들은 잘 보이지 않았고(메일 내용을 바꿔 전송해 그런듯 하다), 메일 전송에는 Microsoft Outlook Express 6.00.2900.5512 이 사용된 것으로 보여진다.

SPF 관련 값
X-Mailer 값

반응형

'Analysis' 카테고리의 다른 글

73. Kimsuky's 애니챗_20240511.xlsx.lnk  (0) 2024.05.13
72. Lazarus's Python malware  (0) 2024.05.13
69. Kimsuky's lnk malware attack method  (0) 2024.04.15
68. Kimsuky Correlation (Disguised Korean Public Institution)  (0) 2024.03.28
67. Xworm V5.2  (1) 2024.02.29

'Analysis' Related Articles

티스토리툴바