분석 정보/악성코드 분석 정보

중국 해커 SharpPanda의 RoyalRoad를 사용한 APT 공격

최근 동남아시아의 정부 기관을 타겟으로 하는 APT 공격이 발생하였다. 관련 내용은 자사 블로그 '최신 보안 동향'에서 확인이 가능하다.

2021.06.07 - [최신 보안 동향] - SharpPanda의 동남아시아 외무부 공격

 

해당 공격은 중국 해커 그룹인 SharpPanda에 의해 발생하였으며, 피싱 메일을 통해 시작되었다. 피싱 메일은 RoyalRoad 악성코드를 다운로드하고 이 후, 사용자 정보를 탈취하고 파일을 다운로드 하는 등의 악성 동작을 수행한다.

 

이번 APT 공격은 다음의 흐름도와 같이 진행되며, 위의 RoyalRoad의 변종으로 기존의 동작과 다른 점을 확인할 수 있다.

 

 [그림 1] APT 공격의 흐름도

 

아래의 그림과 같이, 피싱 메일은 다른 정부기관을 사칭하였으며, 해당 메일의 첨부 파일은 정식 문서를 가장한 악성 문서이다.

 

[그림 2] 피싱 메일의 첨부 문서

 

문서 내부에는 RoyalRoad 악성 문서를 다운로드하는 URL이 있어, 첨부 문서를 실행하면 자동으로 서버에 연결되어 파일 다운로드를 시도한다.

 

[그림 3] 문서 실행 화면

 

현 분석 시점에서는 원격지에 연결되지 않으나, 만약 연결된다면 RoyalRoad 악성 문서를 다운로드한다. RayalRoadMS OfficeEquation Editor 취약점을 악용해 NewCoreRAT과 같은 악성 코드를 유포하는 악성 도구로써, 지금까지도 여러 버전의 변종이 등장하였다.

 

RoyalRoad 악성 문서는 변종마다 동작에 차이가 있어, 다른 변종에 대한 정보는 자사 블로그에서도 언급한 바가 있어, 아래의 링크에서 확인할 수 있다.

2021.05.18 - [분석 정보/악성코드 분석 정보] - RoyalRoad RTF 문서를 통해 유포된 PortDoor 악성코드

 

본 샘플의 경우 컴퓨터 이름, PC 버전, OS 버전 및 백신프로그램 정보 등을 탈취하여 난독화한 뒤 서버에 전송한다.

 

[그림 4] 서버 송신

 

해당 서버에 현재는 연결되지 않으나, 연결이 된다면 서버에서 파일을 다운로드한다.

 

[그림 5] 파일 다운로드

 

그리고, "%system32%\Task\Windows Update"라는 파일을 생성하여 드롭된 DLLstartW 함수를 rundll32.exe로 실행하도록 스케줄러에 등록한다.

 

[그림 6] Window Update 코드 일부

 

스케줄러의 작업은 'Windows Update'라는 이름으로 하루에 한번씩 실행된다.

 

[그림 7] 실행중인 작업

 

이번 보고서에서 알아본 SharpPanda의 피싱 이메일 APT 공격에서는 과거부터 사용되었고, 최근까지도 변형이 등장하는 RoyalRoad 악성 문서가 사용되었기에 상당한 주의가 필요하다. 이러한 피싱 공격의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

 

댓글

댓글쓰기