라자루스 조직, '인천광역시 코로나바이러스 대응' 제목으로 공격

안녕하세요. ESRC(시큐리티 대응센터)입니다.

코로나19가 여전히 기승을 부리고 있는 요즘, '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일이 유포되어 사용자들의 각별한 주의가 필요합니다. 

관련 내용은 이미 4월 1일, 이스트시큐리티에서 보도자료를 통해 주의를 당부한 적이 있습니다. 

(▶ 관련기사)

[그림 1] '인천시 코로나 바이러스 대응' 제목의 악성 메일

이번에 발견된 이메일은 '인천광역시 코로나바이러스 대응'이라는 제목으로 유포되었으며, 발신자 메일 주소 역시 실제 인천시 소속의 감염병관리지원단이 보낸 것처럼 꾸미고 있습니다. 

또한 해당 메일은 개인 이메일로 수신되었으며, 수신자의 이름이 포함되어 있어 유출된 개인정보를 악용한 APT 공격으로 추측하고 있습니다. 

악성 메일에는 ‘_인천광역시 코로나바이러스 대응 긴급 조회’ 이름의 hwp 파일이 첨부되어 있으며, 해당 파일에는 ‘BIN0005.ps’ 취약점이 포함된 포스트스크립트가 포함되어 있고, 문서를 실행하는 경우 취약점으로 악성 쉘코드가 실행됩니다. 

[그림 2] 문서에 포함된 포스크스크립트(BIN0005.ps)

[그림 3] 취약점이 포함된 포스트 스크립트

셸코드에서는 공격자가 지정해 놓은 경로에서 악성코드 다운로드를 받아 임시폴더(%TEMP%)에 ‘skype.jpg’로 드롭 및 로드 기능의 파워셸 코드를 실행합니다. 

skype.jpg 분석

본 악성코드는 윈도우 정상 프로세스에 인젝션되어 실행되며, 명령 제어 기능을 수행합니다. 

1) 인젝션

한글 문서의 셸코드에서 실행되는 ‘skype.jpg’는 최초 실행 시, OS 환경에 따라 아래의 프로세스에 인젝션되어 실행됩니다. 그리고 Export 함수명은 CratClient.dll 입니다.

[그림 4] 인젝션 코드

OS	인젝션 대상 프로세스
Windows 10	smartscreen.exe, sihost.exe, ApplicationFrameHost.exe, svchost.exe, explorer.exe
Windows 8 ~ Windows 8.1	taskhostex.exe, svchost.exe, explorer.exe
Windows 7	dwm.exe, taskhost.exe, svchost.exe, explorer.exe

[표 1] OS 별 인젝션 대상 프로세스

2) 안티 분석 기능

분석을 방해하는 목적으로 아래의 ‘Anti-VM’, ‘Anti-Analysis’, ‘Anti-Debug’ 기능을 수행합니다. 만일 조건에 해당되는 경우 악성 기능은 수행되지 않습니다.

가상 머신 프로세스(VirtualBox, Vmware) 확인

- Vmtoolsd.exe

- Vmwaretrat.exe

- Vmwareuser.exe 

- Vmacthlp.exe

- vboxservice.exe

- vboxtray.exe

가상 환경 확인

- PEB의 NumberOfProcessors가 2개 이하인지 확인

- MACAddress가 Vmware에서 사용되는 어드레스인지 확인

디버깅 도구가 실행 중인지 확인

- WinDbg

- x64_dbg

- OllyICE

- OllyDBG

- Immunity

- idaq 

PEB의 BeingDebugged,  NtGlobal 값 체크

CheckRemoteDebuggerPresent

3) 명령 제어 기능

C&C에 연결 이후, 공격자의 명령에 따라 아래의 악성 행위가 수행됩니다.

1. 다운로더

2. 파일 업로드

3. 파일 실행(EXE, DLL)

4. PC 정보 수집

-       파일 및 디렉토리 정보 수집

-       프로세스 리스트 수집

로컬 컴퓨터 도메인, 방화벽, AntiVirus 제품, OS, 디스플레이, 메모리 정보 수집

특징적으로 C&C에서 추가적으로 다운로드 받아 실행하는 코드와 파일 및 디렉토리 정보 수집하는 코드는 아래와 같습니다.

[그림 5] 파일 드롭(EXE, DLL) 및 실행 코드 일부

[그림 6] 파일 및 폴더 정보 수집 코드의 일부

최근 코로나 19 바이러스 관련 방역 활동이 코로나 확진자 동선과 접촉자 중심으로 이뤄지고 있는 것을 대다수 국민이 인지하고 있기 때문에 이러한 국가기관 사칭 이메일에 사용자가 쉽게 위협에 노출될 수 있습니다. 

이에 코로나 19 바이러스 관련 이메일 수신 시 첨부파일 열람에 특별히 주의를 기울여야 합니다. 

현재 알약에서는 해당 악성코드에 대해 Exploit.HWP.Agent,  Trojan.Agent.344064F, Trojan.Agent.422912F로 탐지중에 있습니다.