포스팅 내용

국내외 보안동향

십 여가지 디코이 문서 포맷을 지원하는 CARROTBAT 드롭퍼 발견

Fractured Block Campaign: CARROTBAT dropper dupports a dozen decoy document formats

Security Affairs


Palo Alto Networks의 연구원들이 최근 많은 페이로드를 드랍하기 위해 수십여 개의 미끼 파일 포맷을 지원하는 악성코드 드롭퍼인 CARROTBAT을 발견했습니다.


CARROTBAT은 2018년 3월 처음 발견 되었지만, 지난 3개월 동안 연구원들은 이 드롭퍼 관련 활동이 급격히 증가한 것을 발견했습니다.


CARROTBAT은 대한민국과 북한 지역에 페이로드를 드랍하기 위해 사용 되었습니다. 공격자들은 미끼 문서에 가상화폐, 가상화폐 거래 및 정치 이벤트와 같은 주제를 사용했습니다.


또한 작년 12월, CARROTBAT은 영국의 정부 기관을 노린 공격에도 사용 되었습니다. 당시 공격자들은 SYSCON 백도어를 드랍하기 위한 미끼 문서를 사용했습니다.


연구원들은 CARROTBAT을 발견한 이래로 샘플 29개를 탐지했습니다. 이 샘플에는 미끼 문서 12개가 포함 되어 있었습니다.


연구원들은 CARROTBAT을 ‘균열 된 블록’(Fractured Block) 공격이라 명명했습니다. 공격자들은 미끼 문서 파일 포맷 11개 (.doc, .docx, .eml, .hwp, .jpg, .pdf, .png, .ppt, .pptx, .xls, and .xlsx.)를 사용했습니다.


지난 3월, 공격자들은 SYSCON RAT 구 버전 및 OceanSalt 악성코드의 새로운 샘플을 포함한 또 다른 페이로드를 확산시키는데 이 드롭퍼를 사용했습니다.


연구원들은 CARROTBAT이 정교하지 않으며, 기초적인 수준의 명령어 난독화를 구현했다고 지적했습니다.

내장 된 미끼 문서가 오픈 되면, 난독화 된 명령어가 시스템에서 실행 되어 마이크로소프트 윈도우의 빌트인 certutil 유틸리티를 이용해 원격 파일을 다운로드 및 실행하려고 시도합니다.


CARROTBAT 샘플과 관련 된 타임스탬프를 분석한 결과, 이들은 2018년 3월에서 9월 사이에 수집 된 것으로 나타났습니다.


또한 연구원들은 CARROTBAT과 KONNI 악성코드 패밀리 간의 인프라가 겹치는 것을 발견했습니다.


Cisco Talos 팀은 KONNI 악성코드가 지난 5월 북한과 관련 된 조직을 노리는 타겟 공격에 사용 된 것을 발견했습니다.


KONNI 악성코드는 3년 이상 동안 탐지 되지 않았으며, 극도로 타겟화 된 공격에 사용 되었습니다. 이는 지속적인 진화를 통해 탐지를 피할 수 있었습니다. 최신 버전은 타겟 시스템에서 임의 코드를 실행하고 데이터를 훔치는 것이 가능했습니다.


지난 8월, Cylance의 연구원들은 KONNI 공격에 사용 된 미끼 문서가 DarkHotel APT의 최근 캠페인에 사용 된 것과 유사하다는 점을 발견했습니다.


Palo Alto Networks의 연구원들은 아래와 같은 결론을 내렸습니다.


“CARROTBOT을 발견한 것은 균열 된 블록 캠페인 활동을 식별하는데 매우 중요한 역할을 했습니다. CARROTBAT을 통해 우리는 관련 된 OceanSalt, SYSCON, KONNI의 활동을 찾을 수 있었습니다.”


“겹치는 부분이 많다는 것은 주목할 만한 사실이며, 우리는 이 모든 위협 행위가 동일한 공격자의 소행이라 추측하고 있습니다. 하지만, 아직까지 완전히 확신할 만한 충분한 증거는 없습니다.”


알약에서는 해당 악성코드들에 대하여 Trojan.Agent.Carrobat,Trojan.Agent.61400dat 등으로 탐지중에 있습니다. 


출처 : 


티스토리 방명록 작성
name password homepage