공격자들, 코로나 바이러스를 미끼로 사용한 데이터 탈취 악성코드로 SCADA 부문 노려

COVID-Themed Lures Target SCADA Sectors With Data Stealing Malware

코로나 바이러스 이슈를 미끼로 사용하여 아제르바이잔의 정부 및 에너지 부문을 공격하는 새로운 악성코드 캠페인이 발견되었습니다. 

이 캠페인은 민감 문서, 키 입력, 패스워드, 웹캠의 이미지를 추출해낼 수 있는 원격 액세스 트로이목마(RAT)를 사용하는 것으로 나타났습니다.

이 타깃 공격은 마이크로소프트 워드 문서를 드로퍼로 사용하여 새로운 파이썬 기반 RAT을 배포하고 있었습니다. 

이 RAT은 영국의 극작가인 윌리엄 셰익스피어의 소네트를 참고로 사용하기 때문에 “PoetRAT”이라 명명되었습니다.

Cisco Talos는 지난주 발표한 분석을 통해 “이 RAT은 거의 모든 RAT 표준 기능을 갖추고 있어 해킹된 시스템을 완전히 제어할 수 있도록 합니다.”라고 밝혔습니다.

연구원들에 따르면, 이 악성코드는 에너지 부문의 풍력 발전용 터빈 시스템 등 SCADA 시스템을 노립니다.

코로나 바이러스 관련 문서 미끼로 이용

이 캠페인은 PoetRAT을 워드 문서에 내장시켜 문서를 오픈 후 매크로를 활성화하면 악성코드가 추출 및 실행되는 방식으로 운영됩니다.

워드 문서가 어떻게 배포되는지는 정확히 알려지지 않았지만, 간단한 URL에서 다운로드 가능했던 것으로 미루어 보아 연구원들은 악성 URL이나 피싱 이메일을 통해 이 RAT을 다운로드하도록 속인 것으로 추측했습니다.

Talos는 이 공격이 지난 2월 시작된 이래로 총 3건의 공격 정황이 포착되었으며, 이 중 일부는 아제르바이잔의 정부 기관과 인도의 국방 연구 개발 기구(DRDO)에서 작성한 것으로 위장한 미끼 문서를 사용하거나 파일 명에 코로나 바이러스를 악용한 ("C19.docx") 실제 콘텐츠가 없는 문서를 사용했다고 밝혔습니다.

<악성코드 소스>

<이미지 출처: https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html>

이 문서 내 비주얼 베이직 스크립트 매크로는 공격 벡터에 관계없이 디스크에 이 악성코드를 "smile.zip"이라는 이름으로 작성합니다. 이 파일은 파이썬 인터프리터와 RAT으로 구성되어 있습니다.

이 파이썬 스크립트는 샌드박스의 하드디스크가 62GB보다 작을 것이라 가정하고 해당 문서가 오픈된 환경이 샌드박스가 아닌지 확인하는 작업을 거칩니다. 

만약 샌드박스 환경이라 판단할 경우 자신을 시스템에서 삭제해 버립니다.

지속성 위해 레지스트리 수정

이 악성코드는 RAT 기능을 위해 아래 스크립트 2개를 포함합니다.

“frown.py” 고유 기기 식별자를 포함하여 원격 C2 서버와 통신하는 역할

"smile.py" 해킹된 기기에서 C2 명령 실행을 처리하는 역할

공격자는 명령어를 통해 민감 파일을 업로드하고, 스크린샷을 캡처하고, 시스템 프로세스를 종료시키고, 키 입력을 로깅하고 (Klog.exe), 브라우저에 저장된 패스워드를 훔칠 수 있습니다. (Browdec.exe)

이 외에도, 캠페인 배후에 있는 공격자는 다른 익스플로잇 툴을 추가로 배포했습니다.

"dog.exe"는 .NET 기반 악성코드로 하드 드라이브 경로를 모니터링하고 자동으로 해당 정보를 이메일 계정이나 FTP로 전송하는 역할을 합니다.

또 다른 툴인 “Bewmac”은 공격자가 피해자의 웹캠을 제어할 수 있도록 합니다.

이 악성코드는 파이썬 스크립트를 실행하기 위한 레지스트리를 생성하여 지속성을 얻고, 앞서 언급한 샌드박스 회피 검사를 우회하도록 레지스트리를 수정하여 동일한 환경에서 다시 검사가 진행되지 않도록 할 수도 있습니다.

“공격자는 특정 디렉터리를 모니터링했습니다. 피해자에 대한 특정 정보를 추출해내려 시도한 것으로 보입니다. 공격자는 피해자의 특정 정보만 훔치는 것에 그치지 않고, 피해자와 관련된 캐시 전체에 관심이 있었습니다. 이들은 기존 보안 툴의 화이트리스트에 파이썬과 다른 파이썬 기반 툴들을 추가하여 탐지를 피했을 것으로 추측됩니다.”

현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Dropper.W97M.Agent, Backdoor.Python.Poetic, Misc.HackTool.LaZagne' 등으로 탐지 중입니다.

출처:

https://thehackernews.com/2020/04/coronavirus-scada-malware.html

https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html