MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석
MWI-5: Operation HawkEye
개요
MS Office 악성코드는 90년대처럼 유행하지는 않지만, 여전히 주의해야 할 악성코드입니다.
최근 강력한 Office 악성코드 개발툴인 Microsoft Word Intruder(MWI)가 러시아에서 개발되었습니다. WMI는 2015년 파이어아이에 의해 처음으로 공개되었지만, 이 악성코드의 파급력을 인지하지 못한 사용자들의 주목을 끌지 못했습니다. 하지만 파이어아이는 끊임없이 WMI에 관한 연구 보고서를 공개하였습니다.
MWI을 이용한 공격 규모는 의도적으로 작은 규모를 유지하였습니다. 공격조직들은 수많은 컴퓨터들을 감염시키기 보다 몇 천대 혹은 몇 십대의 컴퓨터를 감염시켜, 백신 회사들이 관심을 갖는 것을 피했습니다.
최근 연구에 따르면, 2015년 5월부터 8월까지 다른 종류의 MWI 공격이 이루어 졌는데, 보고서에는 WMI 악성코드 내부 정보 및 내장되어 있는 MWISTAT모듈의 정보도 포함하고 있습니다. (블로그 글에서는 독자들이 이미 이 보고서들을 읽었다고 가정하고 더 자세한 정보를 제공할 예정입니다.) 이 악성코드를 통해서 최소 12개의 서로 다른 범죄조직들을 조사하였으며, 그들은 MWI악성코드 생성기를 통하여 서로 다른 40여개의 MWI 악성코드 변종들을 만들어 냈습니다.
MWI 악성코드의 가장 큰 특징은 상업적으로 이용되는 키로깅 툴을 이용하였으며, 아시아 대부분의 지역을 감염시켰다는 것입니다.
감염벡터
2015년 3월 중순에 발견된 악성코드의 활동은 2015년 7월 말까지 지속적으로 포착되었습니다. 이 악성코드는 두 종류의 서로 다른 MWISTAT 서버를 사용했으며, 이후에는 어떤 활동도 확인하지 못했습니다. 이 공격의 처음 감염 벡터는 MWI 파일로부터 생성되는 실행가능한 RTF 문서를 첨부한 피싱메일 이였습니다.
공격자는 인도에서 베트남으로 구매문의를 가장한 이메일을 보냈으며, 우리는 시간이 얼마 지나지 않아 이 두 국가들이 공격자의 주요 목표국가였다는 것을 확인할 수 있었습니다.
첫 번째 C&C서버가 차단된 후에, 공격자는 새로운 서버로 변경하였는데, 이 기간 동안 우리는 은행거래내역을 위장한 또 하나의 피싱 메일을 확인했습니다.
시간이 지남에 따라, 우리는 이 조직이 각기 다른 첨부파일을 사용하고 있는 것을 확인할 수 있었습니다.
최초 발견일 |
파일 이름 |
SHA1 |
2015-03-13 |
Vietnam rder.doc |
bec0dbb5bd468da8f92a038d547f8e3e3bfef828 |
2015-05-27 |
Plans and Designs.doc |
80ac4199c7c519cbbcc04087a684b776cfe2b24a |
2015-05-29 |
Invoice.doc |
4aa4e3d70a5af774d95db2a1926fc2c455072f73 |
2015-06-08 |
|
8b628278c6b032b26ac5cac84abbdb1ab0777668 |
2015-06-08 |
Payment Copy.doc |
2894a0e6bf28e18cf820064dc1ad12d0fee05052 |
2015-06-09 |
|
e9e294e6cfaf064373e4600319657f69e2bed278 |
2015-06-11 |
Label Sample.doc |
8afd513d177f99fe4ef95ba5a26c009f9e48b637 |
2015-06-11 |
Original BL |
b724a030ef3d3ca5aacba76c11bbeb72193f7558 |
2015-06-11 |
|
27f59ac9b5796b46bb13cf9dc85bb5e8893a96d5 |
2015-06-12 |
Remodel+plan.doc |
bbb7e5d092f7e4a56cf0be51d1c586c61f63f44d |
2015-06-15 |
Shipping Doc.doc |
bb33f094b2f9c940b25518efcb9eb1dc38612be8 |
2015-07-28 |
Payment copy.eml |
9aa2372ebaac689c503a07a693a305aa845539b2 |
2015-07-28 |
PO_Vietnam Order.doc |
05468cb85b2ef4f63ffc2256414eb984315e7600 |
2015-07-28 |
|
c17f283852e9054c5a99fab2ced81dcdb7717ae0 |
2015-07-28 |
|
5cc410e31e5e84e980039e99cae47cbabae85a5c |
이 첨부파일들은 앞에서 언급했던 운송이라던지 지불영수증과 같은 주제들을 위장하고 있습니다.
모든 악성샘플들은 HawkEye 라는 비밀번호 탈취 프로그램을 내려받습니다. 일단 사용자가 이메일에 첨부된 파일을 실행하게 되면, payload가 다운로드 및 실행되게 됩니다. 설치된 HawkEye 키로거는 사용자들의 정보들을 수집합니다. HawkEye는 상업적 키로거 툴로, 사용자가 키보드로 입력한 값 및 클립보드 안에 있는 내용들을 수집하여, 비밀번호로 추정되는 모든 정보를 수집합니다.
공격에는 MWISTAT의 C&C 서버가 악용되었습니다.
six-bro.com
amittrade.com
Six-bro.com은 악성코드가 활동할 당시 가장 활발하게 이용되었던 서버입니다. DB에서 보면, 이 서버는 2015년 3월 중순부터 6월 말까지의 활동들과 연관이 있어 보이며, 그 이후에는 이용하지 않는 것처럼 보입니다. 서버가 운영되는 기간 동안, 여러 개의 인스톨 목록들을 확인할 수 있었으며, MWISTAT는 wetstat, webbie, sbst 3개의 각기 다른 하위 목록을 갖고 있었음을 확인할 수 있었습니다.
2015-06-12 |
http://six-bro.com/webstat/img.php?id=70998668 |
2015-06-12 |
http://six-bro.com/webstat/img.php?id=33816634 |
2015-06-12 |
http://six-bro.com/webstat/img.php?id=23900374 |
2015-06-11 |
http://six-bro.com/webstat/img.php?id=12464729 |
2015-06-11 |
http://six-bro.com/webstat/img.php?id=38915948 |
2015-06-09 |
http://six-bro.com/webstat/img.php?id=55731239 |
2015-06-08 |
http://six-bro.com/webstat/img.php?id=82357659 |
2015-06-08 |
http://six-bro.com/webstat/img.php?id=88290212 |
2015-05-29 |
http://six-bro.com/webstat/img.php?id=50981746 |
2015-04-22 |
http://six-bro.com/webbie/img.php?id=90222451 |
2015-04-20 |
http://six-bro.com/webbie/img.php?id=84085197 |
2015-04-20 |
http://six-bro.com/webbie/img.php?id=95536720 |
2015-03-20 |
http://six-bro.com/wbst/image.php?id=88321021 |
2015-03-17 |
http://six-bro.com/wbst/image.php?id=89864851 |
2015-03-17 |
http://six-bro.com/wbst/image.php?id=40074095 |
2015-03-13 |
http://six-bro.com/webstat/image.php?id=35878151 |
현재까지 공격자들의 공격 동기는 확실하지 않지만, 지금까지 조사한 내용들을 바탕으로 추측을 해보자면, 탈취된 정보들은 산업기밀정보들부터 개인정보까지 많은 정보들을 포괄하고 있으며, 이 정보들을 이용하고자 하는 목적으로 보입니다. 하지만, 공격자는 이런 정보들보다 은행정보에 더 관심이 있는 것으로 보여집니다. Six-bro.com 도메인에는 또 다른 하위페이지가 존재하였는데, 이 페이지에는 사용자들이 쉽게 피싱 공격을 당할 수 있도록 정교하게 가짜 은행 페이지를 구축해 놓았습니다.
어떤 보고서에는 six-bro.com에 국가은행 페이지와 동일한 피싱 페이지를 구축되어 있었다고 언급하였습니다. 공격자는 2012년도에 사용하였던 피싱 페이지를 이용하여 공격을 시도하였습니다. 하지만 공격자는 기업의 이메일에 접근할 수 있는 계정정보가 필요하였으며, 이런 정보들을 탈취하기 위하여 이런 산업스파이 활동을 시작한 것으로 추측됩니다.
악성코드 활동 데이터
악성코드에는 MWUSTAT로 돌아가는 주소가 포함되어 있었습니다.
INCLUDEPICTURE "http://{serverpath}/{mainscript}?id={campaign_ID}
공격기간 당시 두 개의 다른 서버를 사용하였으며, 첫 번째 서버에는 3개의 각기 다른 인스톨 파일을 포함하고 있었습니다. 공격자가 십여 개의 서로 다른 ID로 공격활동을 하였는데, 이는 공격자가 최소한 열 번 이상의 공격시도가 있었음을 나타내는 것으로 보여집니다.
한번의 공격당 피해를 받는 사용자 수는 몇 십 명부터 몇 천명까지 상이했습니다. Zbot 악성코드와 비교하였을 때, 표면적으로 드러나는 MWI 공격 피해자들은 상대적으로 적었습니다. MWI가 대규모의 공격을 진행하지 않은 이유는 아마도 공격자가 비교적 안정적 수익을 원해서 그런것으로 추측됩니다.
공격자의 공격활동지역은 대부분 아시아와 아프리카 대륙에 집중되어 있었으며, 그 중 가장 많은 공격을 받은 국가는 인도네시아, 인도, 태국, 오만, 말레이시아 이였습니다.
결론
MWI악성코드의 주요 목적은 사용자들의 정보, 특히기업의 이메일 계정을 탈취하는 것으로 보여집니다. 공격 배후에 존재하는 조직들은 이메일로 그들의 공격목표대상을 찾으며, 이메일에 RTF 문서를 첨부하는 방식으로 공격을 진행하였습니다. 이 문서 중에는 CVE-2012-0518, CVE-2013-3906, CVE-2014-1761 3가지 취약점을 이용하는 악성코드가 포함되어 있었습니다. 비록 CVE-2014-1761 취약점이 3가지 취약점 중에서 가장 최근에 발견된 취약점이지만, 1년전에 이미 패치된 취약점 입니다.
정기적으로 MS Office의 보안업데이트만 진행해 주어도 이 조직의 공격을 쉽게 막을 수 있습니다.
현재 알약에서는 해당 악성코드들에 대하여 Exploit.CVE-2013-3906, Exploit.DOC.CVE-2014-1761, Exploit.DOC.Agent.Gen, Exploit.CVE-2012-0158.Gen로 탐지하고 있습니다.
참고 :
https://www.virusbtn.com/virusbulletin/archive/2015/10/vb201510-MWI-5.dkb#citation.8
https://www.fireeye.com/blog/threat-research/2015/04/a_new_word_document.html.
http://blog.checkpoint.com/2015/06/26/microsoft-word-intruder-rtf-sample-analysis/.
http://blog.0x3a.com/post/117760824504/analysis-of-a-microsoft-word-intruder-sample.
https://www.proofpoint.com/threat-insight/post/Foot-in-the-Door.
http://www.welivesecurity.com/2015/04/09/operation-buhtrap/.
http://www.isightpartners.com/2015/06/hawkeye-keylogger-campaigns-affect-multiple-industries/.
http://blog.checkpoint.com/2015/06/26/microsoft-word-intruder-rtf-sample-analysis/.
http://db.aa419.org/fakebanksview.php?key=94793.
http://www.malwareurl.com/ns_listing.php?ip=176.8.205.173.
대한통운 사칭 지능 타깃형 스미싱 공격 주의! (40) | 2015.11.18 |
---|---|
애드웨어 업데이트로 퍼지는 파밍 주의! (0) | 2015.11.12 |
Xcode IDE 악성앱 이슈 관련 Xcode 버전 인증방법 (0) | 2015.09.23 |
유명 커뮤니티 해킹 사건 및 유포된 apk 분석 (0) | 2015.09.16 |
한글자막이 포함된 원피스 최신동영상으로 위장한 악성코드 주의! (2) | 2015.08.18 |
댓글 영역