2023월 3월 Eset은 동아시아 DLP 제작 업체에서 발견된 악성코드를 분석해 Tick 그룹의 소행이라고 밝혔다.
Tick 그룹은 2014년 이후 주로 한국, 일본 지역에서 활동하며 우주항공, 군, 방위산업, 중공업, 전자, 통신, 정부 기관, 외교 등의 분야를 공격하고 있다.
AhnLab Security Emergency response Center (ASEC)은 이 그룹의 추가 활동을 확인해 공개한다.
* 변조된 Q-Dir 변형들
AhnLab Security Emergency response Center (ASEC)은 2021년 1월부터 2022년 8월까지 한국에서 수집된 Q-Dir로 가장한 악성코드 3개를 추가로 확인했다.
확인된 2개 변형은 ReVBSHell 백도어를 떨어뜨리지만 2022년 8월 발견된 변형 (md5 : 00b170970d46c9212b6d75ce7afc0870 )은 FTP 서버 파일을 생성한다.
* ShadowPY 변형
Eset은 공격에 사용된 ShadowPY 악성코드에 대한 정보도 공개했는데 확인 결과 2021년 9월 안랩에서 한국 고객에게 접수 받은 악성코드와 유사했다.
당시 로더로 사용된 프로그램도 Avira 사의 avshadow.exe이며 악성 DLL 파일이름도 vssapi.dll로 Eset에서 공개한 내용과 동일하다.
코드도 유사함을 알 수 있다.
vssapi.dll 파일 비교
* Operation Triple Tiang 과 관계
Eset은 안랩의 Operation Triple Tiang과 Tick 그룹과의 연관 가능성이 있다고 밝혔다.
Operation Triple Tiang은 한국의 정치, 외교 분야를 대상으로 공격하고 있는 사이버 작전으로 2022년 보고서 공개 당시 명확한 배후가 확인되지 않았다.
AhnLab Security Emergency response Center (ASEC)은 Operation Triple Tiang에서 사용된 ReVBSHell 드롭퍼와 DLP 제작 업체 공격에 사용된 ReVBSHell 드롭퍼 변형에서 동일한 수법을 확인했다.
두 드롭퍼 모두 악성코드가 실행될 때 임시 경로의 파일 수를 확인해 일정 갯수 (변형에 따라 10 개 혹은 18개)가 넘을 때만 악성코드 파일을 생성한다.
Temp 내 파일 수 검사 비교 유사
동일한 ReVBSHell 을 이용하고 드롭퍼 간의 코드 유사점 등에서 Operation Triple Tiang의 배후가 Tick 그룹일 가능성이 높다.
* 맺음말
Tick 그룹의 10년 넘게 한국과 일본의 정부 기관, 군 및 여러 산업을 목표로 활동하고 있다. 현재도 은밀하게 활동하고 있을 가능성이 높으며 안랩은 Tick 그룹의 활동을 계속 추적 할 예정이다.
* 샘플과 정보를 제공해 주신 Eset의 Facundo Muñoz 씨께 감사합니다.
[파일진단]
Backdoor/VBS.Agent (2023.03.29.02)
Dropper/Win.Revbshell (2023.03.28.03)
Dowonloader/Win.Agent (2022.03.15.00)
Trojan/VBS.Obfus (2023.04.06.00)
Trojan/Win.ShadowPY (2023.04.05.03)
[IOC]
00b170970d46c9212b6d75ce7afc0870
19d0edc452b32b0d3da407459a1a9c56
2db7b0e8b0a3b7f142c4246d8c8bf892
31329cce9d0517233053b5363f06f5af
574df15b8bc888750ca28dd4f4f11fae
cb4a15d941a20985d145cd99fcaf3c82
ddbd1fcf0c332ce8dc38f6b48b29c597
ed97cf996bda070de3b7fa1e75b762b1
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보