디지털 서명된 Bandook 악성코드, 다양한 산업 분야 노려

Digitally Signed Bandook Malware Once Again Targets Multiple Sectors

 

카자흐스탄과 레바논 정부와 관련 있는 것으로 의심되는 사이버 스파이 그룹이 13년 된 백도어 트로이목마를 개조해 다양한 조직을 노리는 새로운 공격을 시작한 것으로 나타났습니다.

 

Check Point의 연구원들은 보고서를 통해 이 해커가 Dark Caracal이라는 그룹과 관련이 있다고 밝혔습니다.

 

이들은 작년 디지털 서명된 윈도우 트로이목마 Bandook의 변종 수십 개를 배포하려 시도했으며, 이로 인해 다시 한번 이 악성코드 패밀리에 대한 관심을 불러 일으켰습니다.

 

공격자는 칠레, 키프로스, 독일, 인도네시아, 이탈리아, 싱가포르, 스위스, 터키, 미국에 위치한 정부, 금융, 에너지, 식품 산업, 의료, 교육, IT, 법률 기관을 노렸습니다.

 

연구원들은 이 악성코드가 비정상적으로 폭넓은 업계와 국가를 노리고 있어 “해당 악성코드는 한 조직에서 직접 개발해 사용하는 것이 아니라 타 업체에서 개발해 전 세계 정부 및 공격자에게 판매한 공격 인프라의 일부인 것으로 추측된다”고 밝혔습니다.

 

Dark Caracal은 전 세계적 규모의 스파이 작전을 실행하기 위해 Bandook RAT을 사용했으며, 이는 2018년 초 EFF(Electronic Frontier Foundation)와 Lookout에서 처음으로 보고했습니다. 이 해커 그룹은 수 천명의 피해자로부터 기업 지적 재산 및 개인 식별 정보를 훔친 것으로 나타났습니다. 피해자들은 21개국 이상에서 발생했습니다.

 

 

<이미지 출처: https://research.checkpoint.com/2020/bandook-signed-delivered/>

 

 

적어도 2012년 말부터 운영된 이 그룹은 레바논 안보국(GDGS)과 관련이 있으며 국가 수준의 APT 공격자로 간주되었습니다.

 

EFF와 Lookout은 여러 그룹이 서로 관련이 없는 것으로 보이는 캠페인에 동일한 악성코드 인프라를 동시에 사용하는 것으로 미루어 보아 APT 공격자가 “다양한 글로벌 사이버 스파잉 캠페인 다수를 호스팅하는 인프라를 사용하거나 관리한다”고 추측했습니다.

 

Check Point는 이제 이 그룹이 탐지 및 분석을 방해하기 위한 방안을 추가한 새로운 변종인 Bandook으로 다시 돌아왔다고 밝혔습니다.

 

3단계 감염 체인

 

감염 체인은 3단계로 이루어집니다.

ZIP 파일로 전달되는 마이크로소프트 워드 문서 (예: "Certified documents.docx") 형태의 미끼로 시작되며, 이 파일이 실행되면 악성 매크로가 다운로드됩니다. 이후 원본 워드 문서 내부에 암호화된 2단계 PowerShell 스크립트를 드롭 및 실행합니다.

 

이 PowerShell 스크립트는 공격의 마지막 단계에서 Dropbox 또는 Bitbucket과 같은 클라우드 서비스에서 암호화된 실행파일 조각을 다운로드 및 조립해 Bandook 로더를 만들어냅니다. 이 로더는 RAT을 새로운 인터넷 익스플로러 프로세스에 주입합니다.

 

2007년부터 판매된 Bandook RAT은 원격 제어 서버로부터 스크린샷 캡처, 다양한 파일 관련 작업 등을 실행하는 추가 명령을 받기 위한 연결을 설정하여 다양한 백도어 관련 기능을 제공합니다.

 

 

<이미지 출처: https://research.checkpoint.com/2020/bandook-signed-delivered/>

 

 

하지만 연구원들은 Bandook의 새로운 변종이 11개의 명령만 지원하는 이 악성코드의 축소된 버전이라고 밝혔습니다. 이는 운영자가 악성코드가 남기는 흔적을 축소시키고 탐지를 피하기 위한 노력으로 추측됩니다. 이전 버전은 약 120개 가량의 명령을 지원하는 것으로 알려져 있습니다.

 

또한 이 악성코드는 Certum에서 발행한 유효한 인증서를 사용하여 이 악성코드 실행파일을 서명한 것으로 나타났습니다.

 

연구원들은 디지털 서명된 버전과 서명되지 않은 버전 두 가지를 발견했습니다. 그들은 이 두 버전이 한 조직에서 운영 및 판매되는 것으로 추측했습니다.

 

현재 알약에서는 해당 악성코드 샘플을 ’Backdoor.RAT.Bandook’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2020/11/digitally-signed-bandook-malware-once.html

https://research.checkpoint.com/2020/bandook-signed-delivered/