안랩 시큐리티대응센터(ASEC)은 2020년경부터 최근까지 확인되고 있는 Lazarus 그룹의 공격들에 대해 분석 보고서를 공개한다. 여기에서 다루는 악성코드는 NukeSped로 알려져 있으며 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 백도어 악성코드이다. 본 문서에서는 NukeSped를 이용한 공격들에 대한 전체적인 흐름을 분석한다. 차례대로 확인된 유포 방식부터 시작하여 NukeSped의 기능들을 분석하고, 공격자로부터 전달받은 명령이나 추가적으로 설치한 악성코드들까지 각 단계별로 상세하게 정리한다.
____
____
목차
개요
1. 최초 침투 방식
…. 1.1. 메일 첨부 문서 파일을 통한 유포 사례
…. 1.2. 워터링홀 공격을 통한 유포 사례
2. 다운로더
…. 2.1. 다운로더 #1
…. 2.2. 다운로더 #2
…. 2.3. 패커
3. NukeSped 분석
…. 3.1. 특징
…. 3.2. C&C 통신
…. 3.3. 기능 분석
…….. a. ModuleUpdate
…….. b. ModuleShell
…….. c. ModuleFileManager
…….. d. ModuleKeyLogger
…….. e. ModuleSocksTunnel
…….. f. ModuleScreenCapture
…….. g. ModuleInformation
…….. h. ModulePortForwarder
4. 감염 이후
…. 4.1. NukeSped 명령
…….. a. 설치 과정
…….. b. 정보 수집
…….. c. 작업 스케줄러 등록
…. 4.2. 추가 악성코드 생성
…….. 4.2.1. 웹 브라우저 및 아웃룩 계정 정보 탈취
…….. 4.2.2. 클립보드 및 윈도우 텍스트 정보 탈취
…….. 4.2.3. 파일 MAC Time 수정
…….. 4.2.4. Launcher
…….. 4.2.5. 포트 스캐너
…….. 4.2.6. DarkComet RAT
안랩 대응 현황
결론
IoC (Indicators of Compromise)
…. 파일 경로 및 이름
…. 파일 Hashes (MD5)
…. 관련 도메인, URL 및 IP 주소
참고 문헌
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 매크로 문서 파일이나 워터링 홀 공격을 통해 유포된 것으로 알려져 있다. [9] Andariel 그룹은 취약한 버전의 VMware Horizon 제품을 사용하는 국내 기업을 […]