상세 컨텐츠

본문 제목

'오퍼레이션 스타크루저(Operation Starcruiser)' 그룹의 변종 악성코드 발견 주의

악성코드 분석 리포트

by 알약(Alyac) 2018. 6. 22. 18:44

본문



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 국가 기반 APT 그룹 '오퍼레이션 스타크루저(Operation Starcruiser)'의 변종 악성코드가 발견되어 주의를 당부드립니다.



이번 악성코드에서 사용하는 C&C는 다음과 같습니다.


※ 악성코드에서 사용한 C&C 리스트


www.aloe-china.com/include/bottom.php(104.222.238.216/US)

www.92myhw.com/include/inc/inc_common.php(104.222.231.91/US)

www.aisou123.com/include/dialog/common.php(104.224.219.107/US)

[표 1] 악성코드에서 사용한 C&C 리스트


C&C에 접속 후 데이터를 디코딩합니다. 과거 스타크루저 그룹 악성코드의 [그림 9]와 같이 '*dJU!*JE&!M@UNQ@' 문자열이 동일하게 사용되었습니다.


[그림 1] C&C 접속 후 데이터를 디코딩하는 코드


다음은 과거 '오퍼레이션 스타크루저'에서 사용된 악성코드와 이번 악성코드의 C&C 통신 화면입니다.


[그림 2] 과거 '오퍼레이션 스타크루저' 악성코드 C&C 접속 화면


[그림 3] 이번 변종 악성코드 C&C 접속 화면


C&C에 정상적으로 접속했을 경우 봇 기능을 수행합니다. 봇 명령어에 따른 설명은 다음과 같습니다


명령어

설명 

0x1827

 OS 버전, ComputerName 등 사용자 정보 전송

0x1828 

 로컬 드라이브 정보 전송

0x1829 / 0x182A / 0x182B

서버와 통신 기능 수행 

0x182C 

파일 다운로드

0x182D

파일 업로드

0x182E

프로그램 실행

0x182F

cmd 실행 및 결과 업로드

0x1830

파일 목록 조회

0x1831

프로세스 목록 조회

0x1832

프로세스 종료

0x1834

명령어 받는 주기

0x1835 

C&C 연결 종료

0x183C 

웹 서버로부터 데이터 다운 및 C&C로 업로드

[표 2] 봇 명령어 및 설명


이처럼 국가 차원의 지원을 받는 것으로 추정되는 공격자(state-sponsored actor)의 활동이 한국뿐만 아니라 글로벌적으로 활동하고 있습니다.


이스트시큐리티 대응센터(ESRC)에서는 이와 관련된 인텔리전스 연구와 추적을 지속적으로 유지하고, 유사한 보안위협으로 인한 피해가 최소화될 수 있도록 관련 모니터링을 강화하고 있습니다.


현재 알약에서는 관련 샘플을 'Trojan.RAT.Agent.128512L'로 진단하고 있습니다



관련글 더보기

댓글 영역