ASEC(AhnLab Security Emergengy response Center) 분석팀은 취약한 버전의 Innorix Agent 사용자를 타겟으로 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 백도어로 C&C 서버로 접속을 시도한다.

[그림 1] 한국인터넷진흥원 취약점 보안 업데이트 공지[1]

[그림 2] ASD 인프라 탐지 로그

[그림 3] ASD 인프라 탐지 리포트

[그림 4]인코딩 및 디코딩 루틴
최근 소프트웨어의 취약점으로 유포되는 형태가 확인되고 있어 기업 사용자 및 일반 사용자의 각별한 주의가 필요하다. 취약한 버전의 소프트웨어는 업데이트 후 사용하도록 관리되어야 한다.
[파일 진단]
- Backdoor/Win.Andardoor.R558252
- Backdoor/Win.Andardoor.C5381120
- Backdoor/Win.Andardoor.C5382662
- Backdoor/Win.Andardoor.C5382103
- Backdoor/Win.Andardoor.C5382101
[IOC]
- bcac28919fa33704a01d7a9e5e3ddf3f
- 1ffccc23fef2964e9b1747098c19d956
- 9112efb49cae021abebd3e9a564e6ca4
- 0a09b7f2317b3d5f057180be6b6d0755
- 0211a3160cc5871cbcd4e5514449162b
- ac0ada011f1544aa3a1cf27a26f2e288
- c892c60817e6399f939987bd2bf5dee0
- 6dd579cfa0cb4a0eb79414de6fc1d147
- 88a7c84ac7f7ed310b5ee791ec8bd6c5
- e5410abaaac69c88db84ab3d0e9485ac
- 4.246.144[.]112:443
- 139.177.190[.]243:443
- 27.102.107[.]224:5443
- 27.102.107[.]234:8443
- 27.102.113[.]88:5443
- 27.102.113[.]88:21
- 109.248.150[.]179:443
[References]
1) https://knvd.krcert.or.kr/detailSecNo.do?IDX=5622
2) https://www.cisa.gov/uscert/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF
Categories:악성코드 정보
[…] Innorix Agent 사용자를 대상으로 악성코드를 유포한 정황을 공개하였다. [5] 유포에 악용된 Innorix Agent 프로그램은 파일 전송 솔루션 클라이언트 […]