포스팅 내용

악성코드 분석 리포트

라자루스(Lazarus) 그룹, 한국 증권사 직원을 노린 APT 공격 시도



안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.


지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은 스피어 피싱(Spear Phishing) 공격이 진행되었습니다.


해당 공격은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은 대용량 첨부파일 형태로 추가되어 있습니다.


공격자는 다수의 파일을 첨부해 수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp' 문서 파일에 악성코드를 삽입해 두었습니다.


ESRC는 이번 공격이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다.


라자루스 조직은 최근까지 국내에서 비트코인을 거래하는 여러 관계자를 주요 표적삼아 공격을 일삼고 있었는데, 이번 공격은 한국내 증권사 직원을 겨냥한 정황이 확인되었습니다.



[그림 1] 스피어 피싱 이메일 화면



첨부되어 있던 악성 HWP 문서 파일이 실행되면 다음과 같은 화면을 보여주지만, 내부에 포함되어 있는 악성 포스트스크립트(PostScript)가 작동하게 됩니다.



[그림 2] 악성 HWP 문서파일이 실행된 화면



악성 문서 내부에는 'BIN0001.ps' 데이터가 포함되어 있고, 내부에는 쉘코드가 작동되도록 만들어져 있습니다.



[그림 3] 포스트스크립트 쉘코드 화면



쉘코드는 'security.vbs' 파일을 생성하고, C2 주소로 접속해 추가 악성파일을 다운로드해 설치하는 과정을 진행합니다.



%appdata%\Microsoft\Internet Explorer\security.vbs

ㄴ https://sixbitsmedia[.]com/wp-content/uploads/wp-logs/category.php?uid=0



[그림 4] 쉘코드 화면



추가로 다운로드되는 파일은 마치 PNG 이미지처럼 위장하고 있지만, Base64로 인코딩된 파일입니다.



[그림 5] Base64 인코딩 화면



디코딩 과정을 거친 후에 32비트 DLL 파일이 생성되고, 파일의 타임스탬프 기준의 제작시점은 2020년 05월 23일입니다.


그리고 내부에는 다음과 같은 PDB 정보를 담고 있는데, '라자루스 조직, 인천광역시 코로나바이러스 대응 제목으로 공격' 사례에서도 유사한 'Crat Client' 문자열이 유사하게 사용된 바 있습니다.



G:\crat0\client\Build\Win32\DllRelease\zero_Win32.pdb 

 


해당 악성 파일은 다시 C2 통신을 통해 공격자의 추가명령을 수행하고, 이를 통해 다양한 위협에 노출될 위험이 생길 수 있습니다.



 C2 URL 주소

 https://mokawafm[.]com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php

 https://www.tiramisu[.]it/wp-content/plugins/wp-comment-form.php

 http://www.kartacnictvi[.]cz/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/upload.php

 http://www.dimer-group[.]com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/download.php

 https://ecolerubanvert[.]com/wp-content/plugins/image-intense/know.php



라자루스 APT 조직은 명령제어(C2) 서버를 구축할 때 주로 워드프레스 기반의 웹 사이트를 활용하고 있는 공통점이 존재합니다.


ESRC에서는 라자루스 APT 조직의 사이버 위협활동이 최근 지속적으로 증가하고 있는 것을 확인하고 있습니다.


국내에선 주로 비트코인 거래 관계자를 대상으로 표적공격을 수행하고 있고, 증권사 직원을 노린 정황까지 포착되는 등 금전적 수익을 목적으로 한 공격이 의심되고 있습니다. 해외에서는 주로 방위산업체 등이 공격을 받고 있는 실정입니다.


특정 정부의 지원을 받아 활동하는 이들 APT 조직의 위협이 증가함에 따라 관계분야의 보안강화가 필요해 보입니다.


이번 공격사례와 관련된 악성파일들은 알약제품군에서 모두 탐지 및 치료가 가능하며, 보다 자세한 침해지표(Ioc) 등은 이스트시큐리티 위협 인텔리전스 서비스인 쓰렛 인사이드(Threat Inside)를 통해 확인이 가능합니다.



 




티스토리 방명록 작성
name password homepage