포스팅 내용

악성코드 분석 리포트

'오퍼레이션 스타크루저(Operation Starcruiser)' 그룹의 변종 악성코드 발견 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 국가 기반 APT 그룹 '오퍼레이션 스타크루저(Operation Starcruiser)'의 변종 악성코드가 발견되어 주의를 당부드립니다.



이번 악성코드에서 사용하는 C&C는 다음과 같습니다.


※ 악성코드에서 사용한 C&C 리스트


www.aloe-china.com/include/bottom.php(104.222.238.216/US)

www.92myhw.com/include/inc/inc_common.php(104.222.231.91/US)

www.aisou123.com/include/dialog/common.php(104.224.219.107/US)

[표 1] 악성코드에서 사용한 C&C 리스트


C&C에 접속 후 데이터를 디코딩합니다. 과거 스타크루저 그룹 악성코드의 [그림 9]와 같이 '*dJU!*JE&!M@UNQ@' 문자열이 동일하게 사용되었습니다.


[그림 1] C&C 접속 후 데이터를 디코딩하는 코드


다음은 과거 '오퍼레이션 스타크루저'에서 사용된 악성코드와 이번 악성코드의 C&C 통신 화면입니다.


[그림 2] 과거 '오퍼레이션 스타크루저' 악성코드 C&C 접속 화면


[그림 3] 이번 변종 악성코드 C&C 접속 화면


C&C에 정상적으로 접속했을 경우 봇 기능을 수행합니다. 봇 명령어에 따른 설명은 다음과 같습니다


명령어

설명 

0x1827

 OS 버전, ComputerName 등 사용자 정보 전송

0x1828 

 로컬 드라이브 정보 전송

0x1829 / 0x182A / 0x182B

서버와 통신 기능 수행 

0x182C 

파일 다운로드

0x182D

파일 업로드

0x182E

프로그램 실행

0x182F

cmd 실행 및 결과 업로드

0x1830

파일 목록 조회

0x1831

프로세스 목록 조회

0x1832

프로세스 종료

0x1834

명령어 받는 주기

0x1835 

C&C 연결 종료

0x183C 

웹 서버로부터 데이터 다운 및 C&C로 업로드

[표 2] 봇 명령어 및 설명


이처럼 국가 차원의 지원을 받는 것으로 추정되는 공격자(state-sponsored actor)의 활동이 한국뿐만 아니라 글로벌적으로 활동하고 있습니다.


이스트시큐리티 대응센터(ESRC)에서는 이와 관련된 인텔리전스 연구와 추적을 지속적으로 유지하고, 유사한 보안위협으로 인한 피해가 최소화될 수 있도록 관련 모니터링을 강화하고 있습니다.


현재 알약에서는 관련 샘플을 'Trojan.RAT.Agent.128512L'로 진단하고 있습니다



티스토리 방명록 작성
name password homepage