해커들, 파일리스 악성코드 공격에 윈도우 에러 서비스 악용해

Hackers abuse Windows error service in fileless malware attack

 

지난 달, 익명의 해킹 그룹이 정식 WER(Windows Error Reporting) 서비스 내부에 악성코드를 삽입한 것을 Malwarebytes의 연구원들이 발견했습니다. 이는 파일리스 악성코드 공격의 일환으로 탐지를 피하기 위해 수행되었습니다.

 

공격 시 탐지 회피를 위해 WER 서비스를 악용하는 것은 새로운 전략은 아닙니다. 하지만 연구원들은 이 캠페인이 아직까지 알려지지 않은 사이버 스파이 그룹의 소행일 가능성이 높다고 밝혔습니다.

 

“공격자들은 페이로드를 호스팅하기 위해 웹사이트를 해킹했으며 파일리스 공격을 수행하기 위해 CactusTorch 프레임워크를 사용했습니다. 그 후에도 분석을 방해하는 여러 기술을 사용합니다.”

 

스피어 피싱을 통한 페이로드 드롭

 

이 공격은 9월 17일 연구원들이 ZIP으로 압축된 악성 문서가 첨부된 피싱 이메일을 발견했을 때 처음으로 관찰되었습니다.

 

초기 악성 페이로드는 근로자의 보상 청구를 미끼로 사용하는 이메일을 통한 스피어 피싱으로 타깃의 컴퓨터에 침입했습니다.

 

사용자가 문서를 열면 악성 매크로를 통해 셸코드가 실행됩니다. 이 코드는 CactusTorch VBA 모듈로 .NET 페이로드를 감염된 윈도우 기기의 메모리에 바로 로드합니다.

 

그 후 이 바이너리가 컴퓨터의 메모리에서 실행되어 하드 드라이브에는 아무런 흔적을 남기지 않고도 내장된 셸코드를 WER 서비스의 윈도우 프로세스인 WerFault.exe에 주입합니다.

 

 

<피싱 이메일 샘플>

<이미지 출처: https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/>

 

 

Cerber 랜섬웨어, NetWire RAT을 포함한 다른 악성코드도 탐지를 피하기 위해 동일한 프로세스 인젝션 기술을 사용했습니다.

 

악성코드가 주입된 채 새로이 생성된 WER 서비스 스레드는 디버깅 중인지, 가상 머신이나 샌드박스 환경에서 실행되는지 등 악성코드 연구원이 분석 중인지 확인하기 위한 여러 검사를 진행합니다.

 

모든 검사 과정을 통과하면 악성코드는 다음 단계로 진행해도 안전할 것이라 판단합니다. 이후 최종 셸코드를 새로이 생성된 WER 스레드 내에 복호화 및 로드합니다. 이 셸코드는 새로운 스레드에서 실행될 것입니다.

 

asia-kotoba[.]net에서 호스팅되는 최종 악성코드 페이로드는 가짜 파비콘 형태로 다운로드되어 새로운 프로세스로 주입됩니다.

 

연구원이 공격을 분석할 때는 호스트 URL이 다운된 상태였기 때문에 최종 페이로드를 분석할 수는 없었습니다.

 

잠재적인 APT32의 지문

 

연구원들은 이 공격이 특정 해커 그룹의 소행이라고 단정지을 수는 없지만 일부 지표 및 전술이 베트남의 지원을 받는 APT32 사이버 스파이 그룹(OceanLotus,  SeaLotus로도 알려짐)을 가리키고 있다고 밝혔습니다.

 

증거 중 하나는 APT32가 공격 중 Denis RAT을 드롭하기 위해 CactusTorch VBA 모듈을 사용한다는 것입니다.

 

안타깝게도 연구원들은 최종 페이로드의 복사본을 얻어내지 못했기 때문에 이를 확인할 수는 없었습니다.

 

이 공격을 베트남 해킹 그룹과 연결시킬 수 있는 또 다른 힌트는 피싱 문서 및 악성 페이로드를 배포하는데 사용된 yourrighttocompensation[.]com 도메인이 베트남의 호치민 시에 등록되어 있다는 것입니다.

 

FireEye에 따르면, APT32는 악성 파일을 첨부판 스피어 피싱 이메일을 통해 “베트남의 제조, 소비재, 컨설팅, 접객업 부문에 투자하는 외국 기업”을 노렸습니다.

 

또한 이들은 전 세계의 연구기관, 언론, 인권 단체 및 중국의 해양 건설 회사에 대한 타깃 공격을 실행한 것으로 알려져 있습니다.

 

현재 알약에서는 해당 악성코드 샘플을 'Trojan.Downloader.DOC.Gen'으로 탐지 중에 있습니다. 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hackers-abuse-windows-error-service-in-fileless-malware-attack/

https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/