분석 정보/악성코드 분석 정보

군사 및 정부 기관을 대상으로 한 캠페인에 사용된 SkinnyBoy 악성코드

최근 SkinnyBoy로 불리는 새로운 악성코드가 발견됐다. Clust25가 공개한 보고서에 따르면 해당 악성코드는 러시아에서 활동하는 APT28 조직이 사용자 PC의 정보를 수집하고, 최종 페이로드를 다운로드 받기 위해 사용하는 것으로 알려졌다.

출처 : https://cluster25.io/2021/06/03/a-not-so-fancy-game-apt28-skinnyboy/

 

현재, SkinnyBoy는 국제 행사 초대와 관련된 내용을 지닌 조작된 문서를 사용해 유포한 것으로 알려졌으며, 실행 흐름은 [그림 1]과 같다.

 

[그림 1] SkinnyBoy 악성코드 실행 흐름도

 

드롭퍼 (Dropper)

SkinnyBoy 악성코드를 실행하면 [1]과 같이 런처(Launcher)와 다운로더(Downloader) 특징을 지닌 파일을 드롭하고 자가삭제한다.

 

[표 1] 드롭 파일 정보

 

또한, 드롭한 파일 중 런처의 지속적인 실행을 위해 시작프로그램 폴더에 링크 파일을 생성한다.

 

[표 2] 링크 파일 정보

 

런처 (Launcher)

이후, 감염된 PC를 재부팅하면 이전 단계에서 생성한 링크 파일이 자동 실행돼 해당 파일에 지정된 경로의 파일을 실행한다. 그다음 [그림 2]와 같이 런처에서 DLL 파일을 실행해 정보 탈취 및 다운로드 단계를 진행한다.

 

[그림 2] PC 재부팅 후 SkinnyBoy 실행 과정

 

다운로더 (Downloader)

해당 악성코드는 [3]에 작성된 경로의 하위 폴더 및 파일 목록과 시스템 및 프로세스 실행 정보를 수집해서 공격자가 운영하는 C&C 서버로 전송한다.

 

[표 3] PC 정보 수집

 

정보를 전송한 후, 파일 다운로드를 위해 공격자가 운영하는 C&C 서버로 연결을 시도한다. 그러나 분석 시점에서는 연결되지 않았다.

 

[그림 3] C&C 서버 연결 패킷

 

만약, 정상적으로 C&C 서버와 연결한 경우에는 페이로드를 다운로드 받아 생성 및 실행하고, 사용을 완료하면 해당 파일을 삭제한다.

 

[그림 4] 다운로드 받은 파일 실행 코드

 

이번 보고서에서 알아본 SkinnyBoy는 악명높은 해커 단체에서 정부 및 군사 조직을 대상으로 한 공격에 사용하는 것으로 알려져 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면



 

 

댓글

댓글쓰기