ASEC 분석팀은 03월 18일 탄소배출 전문기업을 대상으로 문서형 APT 공격을 수행하는 정황을 포착하였다. 자사 ASD(AhnLab Smart Defense)에 수집된 로그에 따르면 피해 PC는 “ㅇㅇ ㅇㅇ 탄소 배출권 전문 연구소.doc”라는 악성 워드 문서를 웹 브라우저를 통해 다운로드한 것으로 추정된다.
악성 문서는 확보하지 못했지만 내부 매크로 코드에 의해 wscript.exe가 실행되는 구조로 추정된다. 확인된 wscript.exe 실행 인자는 다음과 같다.
- wscript.exe %AppData%\Microsoft\Templates\version.ini
이러한 형태의 실행 인자 구동방식은 과거 해당 공격 그룹이 사용했던 방식과 일치한다. 과거 사례에서는 VBS 코드로 이루어진 version.ini가 실행되면 감염 PC에 작업 스케줄러를 생성하고 추가 페이로드를 공격자 C&C 서버로부터 전달받아 이후 악성행위를 수행하였다. 이번 공격에서도 마찬가지로 유사한 방식으로 추가 공격이 수행된 것으로 보인다.
이번 사례의 추가 공격은 감염 PC에 Gold Dragon 악성코드 실행으로 이루어졌다. 공격자는 %HomePath% 경로에 “wieb.dat” 파일명으로 Gold Dragon을 설치하는 DLL을 생성 및 실행한 것으로 추정된다.
실행된 Gold Dragon은 아래 ASEC 블로그를 통해 언급한 것과 기능이 유사하다.
그러나 위 사례에서 정보 유출 모듈이 Gold Dragon에 존재하지 않았지만, 이번에 확인된 Gold Dragon은 정보 유출 모듈이 내부에 존재하였다.
정보 유출 모듈은 시스템 정보 유출을 위한 아래의 명령어 실행 기능과 키로깅, 클립보드 유출 기능을 포함하였다.
- cmd.exe /c ipconfig/all >>”%s” & arp -a >>”%s”
- cmd.exe /c systeminfo >>”%s”
- cmd.exe /c tasklist >>”%s”
유출된 정보는 [그림 2]와 같이 “%localappdata%\Microsoft\common\pre” 경로에 저장된다.
- FreedsStore.feedsdb-ms : 키로깅 데이터 저장
- PI_000.dat : C:\Program Files, C:\users 폴더 내부 파일 목록 저장
- PI_001.dat : 시스템 정보, 프로세스 리스트, IP 정보 저장 (ipconfig, systeminfo, tasklist 실행 결과 저장)
해당 공격 그룹은 다양한 산업 분야에 대해 공격을 수행하고 있다. 따라서 사용자는 출처가 불분명한 게시글 및 이메일의 첨부파일을 열지 않도록 각별한 주의가 필요하다.
현재 안랩 제품에서는 이러한 APT 공격에 대해 꾸준히 모니터링 및 대응 중에 있으며 Gold Dragon에 대해 아래 탐지명으로 대응중에 있다.
[IOC]
[MD5, 진단명, 엔진버전]
wieb.dat : c096ceaaecd4c8fccfe765280a6dac1e Trojan/Win.Kimsuky.C5016729 (2022.03.19.00)
Gold Dragon : dd468bb6daff412f0205b21d50ddd641 Trojan/Win.Kimsuky.C5016818 (2022.03.19.00)
[C&C]
Gold Dragon 다운로드 주소(wieb.dat) : hxxps://osp06397.net/view.php?id=21504
Gold Dragon C&C : hxxps://us43784.org/report.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 접속이 불가하여 이후 행위는 확인이 불가하지만 wscript.exe 실행 인자가 <탄소배출 전문기업 타겟 워드문서 공격>에서 확인된 명령어와 동일한 것으로 보아 이와 유사하게 사용자 PC 정보 […]
[…] URL에 접속이 불가하여 이후 행위는 확인이 불가하지만 이전에 확인된 ‘탄소배출 전문기업 타겟 워드문서 공격‘ 과 유사하게 사용자 PC 정보 유출 등의 행위가 수행되었을 것으로 […]