한국 조직 노리는 Larva-24001 그룹의 Operation Thumb King 동향 보고서
요약
Operation Thumb King은 2023년 5월부터 한국을 공격 중인 사이버 위협 활동이다. 악성코드 구조, 파일 이름 등에서 기존 중국어 사용 위협 그룹과 유사하지만, 정확한 그룹은 확인되지 않아 임시 이름인 Larva-24001로 명명했다.
LNK 파일을 이용한 공격도 발견되었지만, 대부분의 정확한 감염 방법이 확인되지 않았다.
악성코드 배포 방식은 3가지 유형으로 구분할 수 있다. 첫번째 유형은 드롭퍼에서 정상 EXE 파일과 악성 DLL 파일을 떨어뜨린다. 두번째 유형은 드롭퍼에서 정상 EXE, 악성 DLL 파일, 암호화 파일을 떨어뜨린다. 세번째 유형은 드롭퍼에서 미끼 문서까지 떨어뜨리는 형태이다.
정상 EXE 파일이 실행되면 필요한 특정 DLL 파일을 찾아 로드 하는데 공격자는 필요한 DLL 파일을 교체해 악성 DLL 파일이나 Loader를 하는 DLL 파일이 로드되도록 한다. Loader는 암호화된 파일을 읽어 암호를 풀고 메모리에서 실행한다. 현재까지 파악된 악성코드는 시스템 정보를 수집하는 Thukilector와 원격에서 명령을 실행하는 Custom GhostRat 백도어이다.
일부 감염 시스템에서는 웹 브라우저 로그인 정보를 훔치는 Chorege 악성코드가 발견되었다.
현재까지 확인되지 않은 암호화 파일이 다수 있어 다른 종류의 악성코드가 존재할 것으로 추정된다.
Operation Thumb King
1) 소개
2024년 1월 초 한국 내 조직을 공격한 악성코드가 발견되었다. 기본적인 악성코드 구조는 기존에 알려진 중국어 사용 위협 그룹과 유사하지만 정확한 위협 그룹을 특정할 수 없었다. ASEC은 관련 악성코드를 추적해 이들이 2023년 8월부터 한국에서 활동하고 있는 새로운 위협 활동으로 판단하고 Operation Thumb King으로 명명했다. 정확한 그룹을 특정하기 전까지 임시 이름인 Larva-24001로 부르기로 했다.
2) 공격 사례
확인된 공격 대상은 한국 내 정부 기관과 대학이며, 나머지는 정확한 공격 대상이 확인되지 않았다.
|
일시 |
공격 대상 |
내용 |
|
2023년 5월 |
한국 대상 불명 |
공격 대상 및 방법 불명 |
|
2023년 5월 |
한국 대상 불명 |
공격 대상 및 방법 불명 |
|
2023년 6월 |
한국 대상 불명 |
공격 대상 및 방법 불명 |
|
2023년 9월 |
한국 대학교 |
공격 대상 및 방법 불명 |
|
2023년 12월 |
한국 대상 불명 |
공격 대상 및 방법 불명 |
|
2024년 1월 |
한국 정부 기관 |
악성 LNK 파일로 공격 |
표 1. 주요 공격 사례
3) 정상 프로그램 위장
다음 경로에 파일을 생성을 생성해 정상 프로그램으로 위장한다.
|
경로 |
설명 |
|
%ALLUSERSPROFILE%\Certenrollsecurity\certenroll.dll |
Certenroll Security 파일 가장 |
|
C:\Program Files (x86)\IPinside_LWS\I3GprocENU.dll C:\Program Files (x86)\IPinside_LWS\I3GprocKOR.dat |
Interezen IPinside LWS Agent 파일 가장
|
|
%ALLUSERSPROFILE%\iobitcrycloud\duser.dll %ALLUSERSPROFILE%\iobitcrycloud\imfsbdll.dll |
IObit 파일 가장 |
|
%ProgramFiles% (x86)\Samsung\Samsung DeX\swscale-5.dll |
삼성 DeX 파일 가장 |
|
%ALLUSERSPROFILE%\Truecutsecurity\imjputyc.dll %ALLUSERSPROFILE%\Truecutsecurity\tc_prih.dll |
트루컷시큐리티 파일 가장 |
|
%ALLUSERSPROFILE%\Raonwiz\Raon k\version.dll |
라온위즈 파일 가장 |
|
%ALLUSERSPROFILE%\damon\reportx\reportxsvc.enu.dll |
|
|
%ALLUSERSPROFILE%\SmadAVsecurity\smadhook32c.dll |
SmadAV 파일 가장 |
|
%ALLUSERSPROFILE%\Raonsecuremanager\nonelevateddll.dll |
라온시큐어 파일 가장 |
|
%ALLUSERSPROFILE%\ktcallmanager\nonelevateddll.dll |
KTCall 파일 가장 |
|
%ALLUSERSPROFILE%\Syntphelper\smadhook32c.dll |
|
표 2. 보안 프로그램 가장 리스트
대체로 한국 보안 프로그램으로 위장하고 있지만 인도네시아 보안 제품인 SmadAV로 위장하기도 한다. 과거 중국어 사용 위협 그룹이 악성코드 파일을 SmadAV로 위장하기도 했다.
일부 변형은 실행되는 프로세스 이름을 검사해 일치하지 않으면 종료된다. 샌드박스 등의 분석 프로그램 등을 우회하기 위한 목적으로 추정된다.
4) 공격 유형
정확한 공격 방법은 확인되지 않았다. 2023년 발생한 공격에서 사용된 드롭퍼는 미끼 문서 파일을 생성하지 않아 메일을 통한 공격이 아닐 수도 있다. 반면 2024년 1월 공격의 경우 문서 파일로 가장한 악성 LNK 파일로 공격이 시작되었으며 미끼 문서도 생성해 메일로 전달했을 가능성이 높다.
주요 공격 유형은 다음과 같다.
|
종류 |
일시 |
내용 |
|
A 형 |
2023년 6월 |
드롭퍼에서 정상 EXE 파일과 악성 DLL 파일 생성 |
|
B 형 |
2023년 5월 – 12월 |
드롭퍼에서 정상 파일, 악성 DLL, 암호화 파일 생성 |
|
C 형 |
2024년 1월 |
악성 LNK 파일로 공격. 드롭퍼에서 정상 파일, 악성 DLL, 암호화 파일, 미끼 문서 생성 |
표 3. 타임 라인
