안랩에서는 국가사이버안보센터(NCSC) 합동분석협의체와 함께 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하였다.
발견된 악성코드는 보안 업데이트 설치 프로그램으로 위장하였으며 다음과 같이 이노 셋업(Inno Setup) 소프트웨어를 사용하여 제작되었다.
[그림 1] Security Upgrade로 위장한 설치 프로그램
| 이노 셋업(Inno Setup) |
|---|
| JrSfoftware사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 |
이노 셋업을 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘install_script.iss’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는 구조이다.
스크립트 파일의 내용은 다음과 같으며 ‘프로그램 및 기능’에 설치 정보를 기록하며 악성 코드 파일을 시스템 경로 ‘C:\ProgramData’에 생성한다.
[그림 2] 위장한 설치 프로그램
[그림 3] install_script.iss 파일 정보
[그림 4] 프로그램 및 기능에 등록된 설치 정보
생성된 악성코드는 다음과 같이 레지스트리 영역의 시작프로그램에 등록되며 시스템에 상주하여 동작한다.
[그림 5] 악성코드 동작 개요
[그림 6] 레지스트리 정보
이후 시스템의 정보를 탈취하여 공격자의 C&C서버로 전송하며 공격자의 원격 명령에 따라 다양한의 명령어를 추가적으로 수행할 수 있다.
출처가 불분명한 파일은 V3 제품을 이용하여 정밀 검사를 수행하며 소프트웨어를 설치할 때에는 소프트웨어 제작사의 공식 홈페이지를 이용하여 다운로드하길 권장한다.
[IOC]
- 파일 탐지
Dropper/Win.FakeGovuki (2023.04.15.01) - MD5
c5e0a2b881a60fb3440bb78e9920dccd - URL & C2
pita1.sportsontheweb[.]net
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보