분석 정보/악성코드 분석 정보

LastConn 악성코드를 유포하는 Molerats 해커 그룹

최근 "Molerats" 해커 그룹의 소행으로 추정되는 피싱 메일 공격이 발견되었다. 해당 해커 그룹은 TA402, Gaza Hacker Team, Gaza Cybergang 등의 이름으로도 불리우며, 2020년도에는 악성 PDF 파일을 통해 "SharpStage" 등의 악성코드를 유포한 것으로 알려졌다.

 

이번에 발견된 피싱 메일은 중동의 정부 기관을 대상으로 유포되었으며, 메일에는 가자 지구 분쟁과 같은 중동의 지정학적 문제와 관련된 내용과 함께 악성 PDF 파일이 첨부되었다.

 

악성 PDF 파일에는 파일을 다운로드 할 수 있는 링크가 포함되어 있으며, 이를 통해 정상 문서 파일처럼 위장한 "LastConn" 악성코드를 다운로드 후 실행하도록 유도한다. "LastConn" 악성코드는 "SharpStage" 악성코드의 업데이트 버전으로 추정되고 있으며, 공격자의 명령을 전달받아 추가 악성 행위를 수행한다.

 

[그림 1] 2020년 유포된 악성 PDF 파일

 

LastConn 악성코드 유포 사례

“Molerats” 해커 그룹은 2021년 초부터 “LastConn” 악성코드를 유포하였다. 공격은 3월까지 이어졌으며, 이후 잠시 활동을 중지하였다. 그러나 최근 활동을 재개한 것으로 알려졌는데 유포 방법에 변화가 확인되고 있다.

 

악성 링크

연초에 발생하였던 공격 중 2월에 발견된 사례로 공격자는 피싱 메일에 악성 링크를 삽입하여 유포하였다.

 

테스트를 위해 VPN을 사용하여 중동의 IP로 설정한 뒤 악성 링크를 연결하면 추가 악성코드를 다운로드한다. 이외 지역의 IP로 설정하면 뉴스사이트로 연결된다. 다음 [그림 2]는 전체적인 유포 흐름도이다.

 

[그림 2] 2월 악성코드 유포 흐름도

 

링크 연결 시 공격자의 서버로 연결되어 RAR 압축 파일을 다운로드하며, 해당 압축파일 내부에는 정상 파일처럼 위장한 "LastConn" 악성코드가 포함되어 있다.

 

[그림 3] 악성 파일 다운로드

 

악성 PDF 파일

전체적인 유포 방식은 2월의 유포 사례와 유사하지만, 6월 사례의 경우 첨부된 PDF 파일을 통해 악성코드를 추가 다운로드한다. 다음 [그림 4]는 전체적인 유포 흐름도이다.

 

[그림 4] 6월 악성코드 유포 흐름도

 

사용자가 메일에 첨부된 PDF 파일을 열어 "تحميل المرفق (첨부파일 다운로드)" 링크 연결 시, "LastConn" 악성코드가 포함된 RAR 압축 파일을 다운로드한다.

 

[그림 5] 악성 PDF 파일

 

압축 파일 내부에는 "إجتماع وفد من حماس مع النظام السوري" (하마스 대표단과 시리아 정권 회의) 이름의 파일이 포함되어 있으며, 문서 아이콘을 사용하여 Word 문서 파일로 위장하였다.

 

해당 파일은 "LastConn" 악성코드로 실행 시 공격자의 명령을 전달받아 추가 악성행위를 수행한다.

 

[그림 6] 문서파일로 위장한 LastConn 악성코드

 

이번 보고서에 작성한 공격 사례와 같이 악성코드를 정상적인 파일로 위장하여, 사용자가 실행하도록 유도하는 사례가 지속적으로 발견되고 있다. 따라서 출처가 불분명한 파일 실행을 지양해야 하며, 이후에도 발생할 수 있는 사이버 공격에 대비하여 보안 동향에 관심을 가질 필요가 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

댓글

댓글쓰기