인사 담당자로 위장해 이스라엘 업체를 공격한 이란 APT 그룹

최근 이스라엘 업체를 대상으로 진행된 APT 공격이 발견됐다. 이번 공격에는 "Shark"라고 불리는 백도어 악성코드가 사용됐으며, 5월에 발견된 "Milan" 악성코드의 변종으로 알려졌다.

 

이번 캠페인을 진행한 APT 그룹은 특정 업체의 인사담당자를 사칭한 가짜 링크드인(LinkedIn) 프로필을 생성해 해당 프로필을 열람한 사용자들이 악의적으로 조작된 웹사이트로 접속하도록 유도했다. 이들이 위장한 사이트는 독일 소프트웨어 업체인 Software AG와 이스라엘 IT 업체 ChipPC로 사용자가 사이트에 접속해 다운로드 버튼을 클릭할 경우 악성 문서를 다운로드한다.

 

[그림 1] 가짜 링크드인 프로필 (좌) 악성 사이트 및 악성 문서 다운로드 코드 (우)

사진 출처 : clearskysec

 

다운로드 받은 악성 문서를 실행하면 [그림 1]과 같이 문서 내용이 나타나며, 지정된 경로에 “Milan” 또는 “Shark” 백도어 악성코드를 생성한다.

 

[그림 2] 악성 문서

Milan Backdoor (5월)

“Milan”은 이란 APT 그룹이 지난 5월에 진행한 캠페인에서 사용한 악성코드로 C++로 제작됐다. [그림 3]은 “Milan” 악성코드와 실행했을 때 생성되는 파일과 폴더이며 이 중 Log 폴더에는 다운로드 및 업로드할 파일을 저장한다.

 

[그림 3] Milan 백도어 악성코드 생성 파일

 

그리고 [그림 4]와 같이 공격자의 C&C 서버로 연결을 시도하지만 분석 시점에서는 연결되지 않는다.

 

[그림 4] 공격자 C&C 서버 연결 패킷

 

마지막으로 [표 1]과 같이 작업 스케줄러에 등록해 사용자 PC에서 지속적으로 실행되도록 설정한다.

 

[표 1] 작업 스케줄러 등록

 

Shark Backdoor (7월)

“Shark”는 동일한 이란 APT 그룹이 지난 7월에 진행한 캠페인에서 사용한 악성코드로 .NET으로 제작됐으며, 사용하는 명령은 [표 2]와 같다.

 

[표 2] Shark 악성코드 명령어

 

해당 악성코드는 공격자의 C&C 서버와 통신하기 위해 HTTP와 DNS 프로토콜을 사용하며 특히DNS를 쿼리할 때 데이터를 암호화해서 숨기는 DNS 터널링이란 기법을 사용한다.

[그림 5] Shark 악성코드 C&C 서버 통신 코드

 

이란 APT 그룹은 최종적으로 감염된 PC에 “DanBot” RAT 악성코드를 다운로드 및 실행한다. 특히, 이들 그룹이 사용하는 최종 페이로드는 “UltraVNC.exe”, “WINVNC.exe” 등의 정상프로그램으로 위장한 것으로 알려져 있어 주의가 필요하다.

 

따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0  진단 및 치료 화면