인도 정부를 대상으로 악성코드를 유포하는 Armor Piercer 캠페인

최근 인도 정부를 대상으로 악성코드를 유포하는 캠페인이 발견됐다. 해당 캠페인은 Armor Piercer라고 불리며 인도 정부가 사용하는 카바흐(Kavach) 응용프로그램으로 위장한 문서를 사용해 사용자에게 접근한다. 이후, 사용자 PC를 조작하고 기밀 정보에 접근하기 위해 최종 페이로드인 “NetWire” RAT 또는 “Warzone” RAT 악성코드를 다운로드 및 실행한다.

 

 

Armor Piercer 캠페인에서는 사용자 PC에서 최종 페이로드를 실행하기 위해 각 단계마다 악성코드를 다운로드 및 실행하며 흐름도는 [그림 1]과 같다.

 

[그림 1] Armor Piercer 캠페인 흐름도

 

1. 악성 문서를 실행하면 문서에 포함된 매크로가 실행돼 추가 페이로드를 다운로드한다.

2. 다운로드한 파일은 최종 페이로드를 다운로드 및 실행한다.

3. 이후, 최종 페이로드를 실행하면 공격자가 사용자 PC에서 정보를 탈취하거나 조작할 수 있다.

 

1. 문서 파일

Armor Piercer 캠페인에서 사용하는 악성 문서 및 파일은 인도 정부가 사용하는 카바흐(Kavach) 응용프로그램과 관련 있으며, [그림 2]와 같이 공격자의 C&C 서버에서 파일을 다운로드 및 실행한다.

 

[그림 2] 악성 문서에 포함된 VBS 매크로 스크립트

 

2. 다운로더

Armor Piercer 캠페인에서 최종 페이로드를 다운로드 및 실행하기 위한 과정은 탐지 우회를 위해 꾸준히 변경돼 왔다.

 

2021년 3월 – RunPE.dll

3월에 발견된 다운로더 악성코드에서는 공격자의 C&C 서버에서 Process Hollowing 기법을 사용하는 RunPe.dll과 최종 페이로드를 다운로드 한다. 그 후, 다운로드한 RunPe.dll을 사용해 최종 페이로드를 마이크로소프트 .NET Framework의 구성 프로그램인 InstallUtil 프로세스와 교체한 후, 실행한다.

 

[그림 3] 최종 페이로드 실행 방법 - 3월

 

지난 7월에 자사 블로그에 작성된 “NetWire” 악성코드 관련 글에서 언급한 최종 페이로드 실행 방식도 [그림 3]과 유사한 방식을 사용했다.

 

[그림 4] 자사 블로그에 게시된 NetWire 악성코드 실행 방식 코드

 

2021년 5월 – AMSI (AntiMalware Scan Interface) 우회

5월에 발견된 악성코드에서는 악성코드의 탐지를 도와주는 AMSI (AntiMalware Scan Interface)의 기능 중 스캔과 관련된 AmsiScanBuffer API를 패치해 AMSI 스캔을 비활성화한 후, 최종 페이로드를 실행한다. 운영체제의 시스템 종류에 따라 패치하는 바이너리 값은 다음과 같다.

-       32bit : 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC2, 0x18

-       64bit : 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3

 

[그림 5] AMSI 스캔 기능 우회 코드

 

추가로 사용자가 PC를 재부팅해도 자동 실행 하도록 다운로드한 최종 페이로드를 Run 레지스트리에 등록한다.

 

[표 1] 자동 실행 등록

 

2021년 7월 – Pastebin 사용

7월에 발견된 악성코드에서는 텍스트를 저장할 수 있는 웹 애플리케이션인 Pastebin을 C&C 서버로 사용해 최종 페이로드를 다운로드했다.

 

[그림 6] 파일 다운로드 코드 - Pastebin

 

3. 최종 페이로드 (NetWire RAT, Warzone RAT)

Armor Piercer 캠페인에서 사용하는 최종 페이로드는 "Netwire” 와 "Warzone” 악성코드가 있으며, 아래의 링크는 자사 블로그에 게시된 “지속적으로 유포되고 있는 “NetWire” 악성코드”에 대한 보고서이다.

2021.07.30 - 지속적으로 유포되고 있는 NetWire 악성코드

 

추가로 “Ave Maria”라고도 불리는 “Warzone” 악성코드는 감염된 PC에서 공격자의 명령에 따른 동작을 수행하며 대표적인 특징은 다음과 같다.

 

먼저 사용자 PC에서 [표 2]에 작성된 브라우저 및 이메일 클라이언트의 로그인 정보 및 자격 증명을 탈취한다.

 

[표 2] 브라우저 및 이메일 클라이언트 정보 수집 대상

 

또한, [표 3]과 같이 입력된 키 정보를 로그 파일로 생성한다.

 

[표 3] 키로깅 로그 파일 생성

 

추가로 공격자의 C&C 서버에서 파일을 다운로드한 후 실행하는 기능도 있다.

 

[그림 7] 파일 다운로드 코드

 

마지막으로 [그림 8]과 같이 공격자의 C&C 서버와 연결을 시도하며, 정상적으로 연결되면 명령 등이 포함된 데이터를 송수신해 정보 탈취, 키로깅 및 파일 다운로드 등의 명령을 실행할 수 있다. 하지만 분석 시점에서 해당 서버와의 연결이 정상적으로 이뤄지지 않았다.

 

[그림 8] 공격자 C&C 서버 통신 패킷

 

 

최근 정부 기관을 대상으로 다량의 정보를 탈취하고 PC를 제어하기 위한 목적의 캠페인이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면