인터넷 공유기 설치파일 위장한 AppleSeed 유포

ASEC 분석팀은 지난 05월 26일 AppleSeed 악성코드가 공유기 펌웨어 인스톨러로 위장하여 유포되는 정황을 포착하였다. 지금까지 알려진 AppleSeed는 주로 정상 문서 파일이나 그림 파일을 위장하여 유포되었다. AppleSeed를 생성하는 드로퍼 악성코드는 JS(Java Script), VBS(Visual Basic Script)와 같은 스크립트 포맷이 사용되거나 실행 파일 형태도 문서 파일을 위장한 pif 확장자를 가졌지만, 이번 사례에서는 다음과 같이 설치 프로그램을 위장한 아이콘과 파일명이 사용되었다.

• 파일명 : firmware upgrade installer.exe

PDF 문서로 위장하여 유포되는 VBS 스크립트 (Kimsuky) – ASEC BLOG

ASEC 분석팀은 금일(03/23) Kimsuky 조직으로 추정되는 공격 그룹이 국내 특정 기업을 대상으로 APT 공격을 수행하고 있음을 확인하였다. VBS 확장자의 스크립트 파일을 실행 시, 내부에 존재하는 정상 PDF 파일을 실행하여 마치 정상 문서를 열람한 것처럼 속이고, 악성 DLL 파일을 통해 정보유출 기능을 수행하게 된다. 공격 대상은 PDF 문서 내용을 볼 때, 정밀 가공 전문기업으로 추정되며, PDF 문서의 내용은 다음과 같다. 파일명: 접수증-중소기업기술혁신개발사업_시장확대형_녹색전환_S???????.pdf.vbs…

EXE 실행 파일의 동작 방식은 사용자가 해당 파일을 실행시키면 아래와 같이 특정 공유기의 펌웨어 업그레이드 설치로 위장한 팝업창이 발생한다. (해당 공유기 펌웨어와 AppleSeed 악성코드와는 관련이 없다.) 참고로 과거 문서 파일을 위장한 유형에서는 실행 시 문서 및 그림 파일을 팝업하여 사용자가 정상적으로 문서나 그림을 실행시킨 것으로 보이도록 위장하였다.

팝업창의 확인 버튼을 클릭하면 EXE는 내부적으로 “ShellExecuteExW” API에 “iptime.com” 를 API 파라미터로 전달하여 마치 정상적으로 펌웨어 업데이트가 진행되어 제조사 홈페이지에 접속하는 것처럼 보이도록 한다.

웹 사이트 접속과 동시에 사용자 PC의 백그라운드에서는 AppleSeed 악성코드가 설치된다. AppleSeed는 백도어 악성코드로서 C&C로부터 명령을 받아 정보 탈취 및 추가 악성코드 생성 등 다양한 악성 행위를 수행할 수 있다. 현재까지 유사한 사례를 분석한 결과 공격자는 타겟 PC에 주로 원격 제어를 위한 RDP Patcher, HVNC, TightVNC 및 메타스플로잇 미터프리터를 추가로 설치하였다.

AppleSeed는 다음과 같이 정상 프로그램을 위장한 경로에서 동작하며, 자사 ASD 로그 확인 결과 공격자는 또 다른 AppleSeed를 추가적으로 설치하는 것이 확인되었다.

• AppleSeed 설치 경로 (1) : %ALLUSERSPROFILE%\Firmware\Microsoft\Windows\Defender\AutoUpdate.dll
• AppleSeed 설치 경로 (2) : %ALLUSERSPROFILE%\Software\ControlSet\Service\ServiceScheduler.dll

참고로 최근 확인되고 있는 AppleSeed는 Anti Sandbox 기능이 포함되어 있는데, DllInstall() 함수에 악성 루틴이 포함되어 있어 /s 옵션 외에도 다음과 같이 /i 옵션을 통해 추가적인 인자를 받아 매칭되어야 정상적으로 동작할 수 있다.

• AppleSeed 동작 방식 및 커맨드라인 옵션 (1) : regsvr32.exe /s C:\ProgramData\Firmware\Microsoft\Windows\Defender\AutoUpdate.dll
• AppleSeed 동작 방식 및 커맨드라인 옵션 (2) : regsvr32.exe /s /n /i:123qweASDTYU C:\ProgramData\Software\ControlSet\Service\ServiceScheduler.dll

AppleSeed 악성코드는 Kimsuky 조직의 APT 공격에 주로 사용되는 백도어 악성코드로서 다음 ASEC 블로그를 통해 상세한 분석 보고서를 소개한 바 있다.

Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash) – ASEC BLOG

본 문서는 최근 Kimsuky 그룹에서 사용하는 악성코드들에 대한 분석 보고서이다. Kimsuky 그룹은 주로 스피어피싱과 같은 사회공학적 공격 방식을 이용하는데, 첨부 파일들의 이름으로 추정했을 때 공격 대상들은 주로 북한 및 외교 관련 업무를 수행하는 사용자들로 보인다. 자사 ASD 인프라의 감염 로그를 보면 공격 대상은 일반적인 기업들보다는 개인 사용자들이 다수인 것으로 확인되지만, 공공기관이나 기업들 또한 지속적으로 공격 대상이 되고 있다. 대표적으로 국내 대학교들이 주요 공격 대상이며 이외에도 IT 및 정보 통신 업체, 건…

대체로 해당 악성코드는 단독으로 유포되지 않고, 사용자가 악성코드에 감염되었다는 사실을 인지하지 못하도록 미끼 문서가 함께 실행되도록 유포된다. 최초 유포는 주로 스피어 피싱 메일을 통해 이루어지므로 출처가 불분명한 사용자의 첨부 파일은 되도록 열지 않도록 주의가 필요하다.

 

MD5

39b39ca9cbf9b271590d06dfc68a68b7

6b10482c939fc33c3a45a17f021df32b

851e33373114fef45d0fe28c6934fa73

9ac572bdca96a833a40edcaa91e04c2b

c99f6d1c7c0d55ce1453dd08c87ee2b4

URL

http[:]//fedra[.]p-e[.]kr//

http[:]//leomin[.]dothome[.]co[.]kr/update/?mode=login

http[:]//printware2[.]000webhostapp[.]com//