최근 동남아시아의 정부 기관을 타겟으로 하는 APT 공격이 발생하였다. 관련 내용은 자사 블로그 '최신 보안 동향'에서 확인이 가능하다.
2021.06.07 - [최신 보안 동향] - SharpPanda의 동남아시아 외무부 공격
해당 공격은 중국 해커 그룹인 SharpPanda에 의해 발생하였으며, 피싱 메일을 통해 시작되었다. 피싱 메일은 RoyalRoad 악성코드를 다운로드하고 이 후, 사용자 정보를 탈취하고 파일을 다운로드 하는 등의 악성 동작을 수행한다.
이번 APT 공격은 다음의 흐름도와 같이 진행되며, 위의 RoyalRoad의 변종으로 기존의 동작과 다른 점을 확인할 수 있다.
아래의 그림과 같이, 피싱 메일은 다른 정부기관을 사칭하였으며, 해당 메일의 첨부 파일은 정식 문서를 가장한 악성 문서이다.
문서 내부에는 RoyalRoad 악성 문서를 다운로드하는 URL이 있어, 첨부 문서를 실행하면 자동으로 서버에 연결되어 파일 다운로드를 시도한다.
현 분석 시점에서는 원격지에 연결되지 않으나, 만약 연결된다면 RoyalRoad 악성 문서를 다운로드한다. RayalRoad는 MS Office의 Equation Editor 취약점을 악용해 ‘NewCoreRAT’과 같은 악성 코드를 유포하는 악성 도구로써, 지금까지도 여러 버전의 변종이 등장하였다.
RoyalRoad 악성 문서는 변종마다 동작에 차이가 있어, 다른 변종에 대한 정보는 자사 블로그에서도 언급한 바가 있어, 아래의 링크에서 확인할 수 있다.
2021.05.18 - [분석 정보/악성코드 분석 정보] - RoyalRoad RTF 문서를 통해 유포된 PortDoor 악성코드
본 샘플의 경우 컴퓨터 이름, PC 버전, OS 버전 및 백신프로그램 정보 등을 탈취하여 난독화한 뒤 서버에 전송한다.
해당 서버에 현재는 연결되지 않으나, 연결이 된다면 서버에서 파일을 다운로드한다.
그리고, "%system32%\Task\Windows Update"라는 파일을 생성하여 드롭된 DLL의 startW 함수를 rundll32.exe로 실행하도록 스케줄러에 등록한다.
스케줄러의 작업은 'Windows Update'라는 이름으로 하루에 한번씩 실행된다.
이번 보고서에서 알아본 SharpPanda의 피싱 이메일 APT 공격에서는 과거부터 사용되었고, 최근까지도 변형이 등장하는 RoyalRoad 악성 문서가 사용되었기에 상당한 주의가 필요하다. 이러한 피싱 공격의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| 군사 및 정부 기관을 대상으로 한 캠페인에 사용된 SkinnyBoy 악성코드 (0) | 2021.06.11 |
|---|---|
| Powershell을 통해 실행되는 DoubleBack 악성코드 (0) | 2021.06.10 |
| AutoHotKey(AHK) 스크립트 파일에 악성코드를 숨겨 유포하는 캠페인 (0) | 2021.05.31 |
| MSBuild의 기능을 악용하여 유포된 악성코드 (0) | 2021.05.28 |
| RoyalRoad RTF 문서를 통해 유포된 PortDoor 악성코드 (0) | 2021.05.18 |