APT

라자루스 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서

북한의 해킹 그룹으로 알려진 라자루스 그룹은 지난 2009년부터 국내를 비롯하여 미국, 아시아, 유럽 등의 다양한 국가를 대상으로 공격을 수행하고 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 2022년 상반기에 라자루스 그룹은 국내의 방산, 금융, 언론, 제약 산업군에 대해 APT(Advanced Persistent Threat) 공격 활동을 전개하였다. 안랩에서는 이러한 APT 공격을 면밀히 추적하였으며 공격 과정에서 보안 제품을 무력화하는 정황을 확인하였다. 공격 과정을 분석한 결과, 라자루스 그룹은 오래된 버전의 이니텍(INITECH) 프로세스를 악용하여 기업에 초기 침투를 수행한 뒤 공격자 서버로부터 루트킷 악성코드를 다운로드 받아 실행하였다. 이번…

국내 기업 대상의 귀신(Gwisin) 랜섬웨어

최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다. 이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한,내부 DLL…

특정 군부대 유지보수 업체 대상으로 AppleSeed 유포

ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다. 이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다. 20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls 최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다. 해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이…

발주서, 품의서를 위장한 AppleSeed 유포

ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다. 최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다. 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse 품의서(***과장님).jse JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다. 그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영…

울진 산불 피해 기부 영수증으로 위장한 워드 문서 APT 공격 (Kimsuky)

지난 3월 초 울진, 삼척 일대에 큰 산불이 발생하여 피해 복구 및 이재민을 돕기 위해 전국 각지에서 기부 행렬이 이어졌다. 이러한 상황에서 ASEC 분석팀은 공격자가 울진 산불 피해 기부 영수증 워드문서로 위장해 APT 공격을 시도하는 것을 포착하였다. 해당 문서의 작성 일시는 3월 28일이며 제작자는 기존 ASEC 블로그를 통해 공개한 제작자 이름(Acer)과 일치한다. 공격 기법과 생성되는 파일의 기능은 기존 블로그 내용과 동일하나, 이번 공격에서의 차이점은 매크로 실행 시 생성되는 배치 파일명이 다르다. 해당 배치파일은 moster.bat으로 유포되었으며 기능은 이전 블로그의 “error.bat”과 일치한다….