TIDRONE 공격자의 국내 기업 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 TIDRONE 공격자가 최근 기업들을 대상으로 공격을 진행 중인 것을 확인하였다. 해당 공격 사례들에서 악용된 소프트웨어는 ERP 들이며 이를 통해 CLNTEND라고 하는 백도어 악성코드를 설치하였다.
TIDRONE은 대만 방산업체 특히 드론 개발 업체들을 대상으로 공격하고 있는 공격자로서 2024년 9월 TrendMicro 사에서 최초로 보고하였다. [1] 중국어를 사용하는 공격 그룹과의 연관성이 있는 것으로 알려진 TIDRONE은 대만 외에도 여러 지역들을 공격 대상으로 하고 있는 것으로 알려져 있으며 Enterprise Resource Planning (ERP) 소프트웨어나 원격 데스크톱 소프트웨어인 UltraVNC를 이용해 CXCLNT와 CLNTEND라고 하는 백도어 악성코드를 설치하였다.
ASEC에서는 2024년 상반기 국내 기업 대상 공격에 CLNTEND가 사용된 것을 확인하였으며 2024년 7월부터는 국내 ERP를 악용하고 있는 것을 확인하였다. 해당 ERP들은 공식 홈페이지가 확인되지 않고 사용자 수가 소수인 것을 보면 소규모 제작 업체에서 제작해 소수의 국내 업체들에만 배포되고 있는 것으로 추정된다.
Figure 1. ERP와 함께 설치되는 CLNTEND
1. 공격 벡터
2024년 상반기에 확인된 공격은 최초 유포 방식은 확인되지 않으며 TrendMicro사의 보고서와 유사하게 DLL Side-Loading 방식으로서 “winword.exe”가 사용되었다는 점만 확인된다. 하지만 2024년 7월부터는 크게 두 종류의 ERP를 통해 악성코드가 유포된 정황이 확인된다.
먼저 첫 번째 유형은 국내 소규모 개발 업체와 연관이 있는 ERP로 보인다. 해당 제작사는 고객사마다 ERP를 커스텀하여 제공하는 것으로 추정되는데 자사 ASD 상에서 확인되는 해당 업체의 정상 ERP들은 20MB 가까운 크기를 갖는 반면 공격에 사용된 악성코드들은 모두 4MB 정도의 크기를 갖는 것이 특징이다.
Figure 2. ERP를 악용한 공격 사례
비록 직접 유포되는 악성코드는 수집되지 않았지만 해당 악성코드가 생성하는 “VsGraphicsDesktopEngine.exe”는 뒤에서 다룰 또 다른 DLL Side-Loading에 악용되는 정상 프로그램이다. 그리고 이후 다음과 같은 경로들에서 TIDRONE의 Loader 악성코드들이 확인되는 공통점이 있다.
| %ProgramFiles%\microsoft office\wwlib.dll %SystemDrive%\3dp\edition\wwlib.dll %ProgramFiles%\intel\intel(r) serial io\lang\hr-hr\wwlib.dll |
두 번째 유형은 실제 악성코드 유포 사례가 확인되었다. 국내 또 다른 업체의 ERP로서 해당 유형 또한 공식 홈페이지는 존재하지 않는 것으로 보인다. 위의 사례와 유사하게 고객사마다 다른 경로의 파일을 업로드하여 배포하는데 특정 고객의 경우 처음에는 정상 ERP가 배포되었지만 얼마 후 ERP와 CLNTEND를 함께 설치하는 드로퍼로 변경되었다.
Figure 3. ERP 배포 서버에서 다운로드된 CLNTEND
2. 악성코드 분석
위의 공격을 통해 설치되는 악성코드는 정상 실행 파일과 Loader 기능을 담당하는 DLL 그리고 암호화된 CLNTEND이며 배포 이후 배포한 실행 파일을 실행한다. 정상 실행 파일은 DLL Side-Loading 방식을 통해 동일 경로에 함께 배포된 악성 DLL을 로드하며 최종적으로 또 다른 암호화된 파일을 복호화하여 메모리 상에서 실행한다.
Figure 4. 동작 흐름도
가장 많이 악용되는 실행 파일은 MS Office의 워드 및 “VsGraphicsDesktopEngine.exe”이며 최근에는 “rc.exe”가 악용되고 있다.
| 실행 파일 | DLL 이름 | 데이터 파일 이름 |
|---|---|---|
| winword.exe | wwlib.dll | gimaqkwo.iqq |
| VsGraphicsDesktopEngine.exe | vsgraphicsproxystub.dll | opt.dat |
| rc.exe | rcdll.dll | wctE5ED.tmp |
| N/A | jli.dll | cxufejc.abu thaxdle.fxm |
| N/A | iviewers.dll | opt.dat tmplog |
Table 1. DLL Side-Loading
공격 과정에서는 다양한 Loader 악성코드들이 사용되며 공격자는 분석 방해를 목적으로 다양한 종류의 Loader들을 만들어 왔다. TrendMicro사에서 다룬 Loader는 분석 방해를 목적으로 Fiber 구조체를 덮어쓰는 기법을 사용하였는데, 최근 사용하는 악성코드도 난독화 방식을 사용하거나 FlsCallback을 사용해 암호화된 데이터 파일 “wctE5ED.tmp”를 복호화하는 것이 특징이다.
Figure 5. FlsCallback을 이용한 복호화 루틴
CLNTEND는 RAT 악성코드로서 TrendMicro사의 보고서에 따르면 CXCLNT와 함께 공격에 사용되어 왔던 것으로 알려져 있다. CLNTEND는 CXCLNT와 비교해서 TCP(Raw Socket, Web Socket), TLS, HTTP, HTTPS, SMB와 같은 다양한 통신 프로토콜을 지원하는 것이 특징이다.
Figure 6. CLNTEND의 클래스 이름
공격자는 Loader와 암호화된 데이터뿐만 아니라 Launcher 악성코드를 유포하기도 하였다. 단순히 특정 경로의 파일들을 실행하는 기능을 담당하지만 하드코딩된 경로명들을 통해 악성코드 설치 위치와 파일명을 추정할 수 있다.
| Type | 실행 경로 |
|---|---|
| Type A | C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exe |
| Type B | C:\NVIDIA\DisplayDriver\rc.exe C:\NVIDIA\nForceWin7Vista64Int\rc.exe C:\NVIDIA\GLCache\rc.exe C:\AMD\Chipset_Software\rc.exe |
| Type C | C:\ProgramData\Microsoft OneDrive\setup\nir.exe” exec hide cdb.exe -pd -cf “C:\ProgramData\Microsoft OneDrive\setup\dbglog.dat” dllhost |
| Type D | C:/******/*****/Application/de/oleview.exe |
Table 2. Launcher의 실행 경로
3. 결론
대만의 방산업체를 공격한 것으로 알려진 TIDRONE 공격자의 활동이 국내에서도 지속적으로 확인되고 있다. 최근 확인되는 공격 사례들은 영세한 개발 업체가 제작한 것으로 추정되는 ERP들을 악용한 공격이다.
사용자들은 보안 제품을 이용해 공격자로부터의 접근을 통제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Trojan/Win.Loader.R679179 (2024.11.11.00)
– Trojan/Win.Loader.R679207 (2024.11.11.00)
– Trojan/Win.Loader.R681991 (2024.11.16.03)
– Trojan/Win.Agent.C5628462 (2024.05.31.02)
– Trojan/Win.Loader.C5666988 (2024.09.08.03)
– Trojan/Win.Launcher.C5666991 (2024.09.08.03)
– Trojan/Win.Loader.C5666994 (2024.09.10.00)
– Dropper/Win.Agent.C5692128 (2024.11.10.03)
– Trojan/Win.Launcher.C5692134 (2024.11.11.00)
– Trojan/Win.Loader.C5692141 (2024.11.11.00)
– Data/BIN.EncPe (2024.11.11.03)
– Data/BIN.Shellcode (2024.05.29.02)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
