분석 정보/악성코드 분석 정보

금전보다 정치적인 공격을 우선시하는 Moses Staff 해킹 그룹

2021. 12. 14. 17:13

20219, 처음 등장한 해킹 그룹 "Moses Staff"는 어떤 금전적 요구도 하지 않고, 반 유대주의 사상을 내세우기 위해 이스라엘 조직을 표적으로 삼아 공격하기 시작했다. "Moses Staff" 해킹 그룹은 자신들이 운영하는 데이터 유출 사이트에 이스라엘의 기업 및 공공 기관에서 탈취한 데이터를 게시했다.

 

아래의 링크는 해당 그룹에 대해 게시된 자사 블로그 정보성 글이다.
2021.10.26 - [최신 보안 동향] - 반 유대주의 사상을 내세운 사이버 범죄 등장

 

[그림 1] Moses Staff 데이터 유출 사이트 메인

 

"Moses Staff" 그룹의 악성코드는 20213월에 공개된 MS Exchange Server 취약점을 악용하여 유포된다. MS Exchange Server 취약점은 공격자를 사용자의 서버에 인증한 후 웹 쉘을 사용자 서버에 업로드하여 원격 액세스 권한을 얻는다. 최종적으로 공격자가 원하는 명령을 서버로 보내 감염된 PC를 제어한다.

 

▶ 아래의 링크는 해당 취약점에 대해 게시된 자사 블로그 정보성 글이다.
2021.03.16 - [최신 보안 동향] - MS Exchange Server 취약점을 악용한 사이버 공격 발견

 

"Moses Staff" 해킹 그룹은 난독화된 웹쉘을 통해 타겟 PC의 초기 액세스 권한을 얻고, 추가 파일을 다운로드한 후 실행한다. 다운로드된 파일은 외부에서의 연결을 허용하도록 방화벽 규칙을 수정하고, 내부에 존재하는 암호화된 페이로드를 복호화하여 드랍한다. 최종 페이로드는 드라이버 파일과 부트로더 설치 파일을 드랍한 후 실행한다. 최종적으로 사용자 PC의 디스크를 암호화하고, 부트로더를 설치해 부팅을 불가능하게 만든다.

 

[그림 2] Moses Staff 그룹 악성코드 실행 흐름도

 

Analysis

"Moses Staff" 해킹 그룹은 MS Exchange Server 취약점을 악용하여 웹 쉘을 통해 악성코드를 다운로드한다. 악성 웹 쉘은 난독화되어 있으며 암호 인증이 성공하면 감염된 PC에 "csrss.exe" 파일을 다운로드 한다.

 

[그림 3] 난독화된 악성 웹 쉘 암호 인증 코드

 

"csrss.exe" 파일은 실행 시 내부에 하드코딩 된 "ps.exe" 파일과 "svchost.exe" 파일을 복호화하여 드랍하고, 외부 연결을 허용하기 위해 방화벽 규칙을 수정한다.

 

[표 1] 외부 연결 허용을 위한 수정된 방화벽 규칙

 

드랍된 "ps.exe" 파일은 "csrss.exe" 파일을 모니터링하고, 해당 프로세스가 종료되면 재실행하는 역할을 수행한다.

 

"svchost.exe"는 악성 페이로드 파일로 내부 리소스 섹션에 암호화를 위한 암호화 키 및 부트로더 메시지, 파일 암호화를 위한 "dcdrv.sys" 파일의 32비트 및 64비트 파일, 그리고 부트로더 설치를 위한 DLL 파일을 저장하고 있다.

 

[그림 4] svchost.exe 파일 내부의 리소스 섹션 정보

 

또한, 페이로드는 "dcdrv.sys" 드라이버 파일을 서비스에 등록하며 일정 시간 이후 PC를 재부팅해 실행되도록 한다. 해당 드라이버 파일은 인증서가 존재해 감염된 시스템에서 실행하는데 문제가 없다.

 

[그림 5] 드라이버 파일 서비스 등록 코드

 

[그림 6] 악성 드라이버 파일의 인증서

 

"svchost.exe"에서 볼륨 디스크 탐색해 사용중인 디스크가 존재하면 "dcdrv.sys"에 제어 코드를 보내고 실행된다. 이후, 본격적인 디스크 암호화가 수행된다.

 

[그림 7] 디스크 탐색 후 드라이버로 제어 코드를 전송하는 코드

 

특이한 점은 암호화를 진행하기 전에 드라이버 파일의 실행 주체인 "svchost.exe"에서 감염된 PC의 시간을 확인하고, 지정된 시간 동안 암호화를 보류한 후 특정 시간에 드라이버 파일을 통해 암호화를 수행한다. 이것은 "Moses Staff" 해킹 그룹이 표적화된 특정 피해 기업을 원하는 시간에 감염시키기 위해 추가한 동작으로 보인다.

 

[그림 8] svchost.exe의 감염된 PC 시간 확인 및 드라이버 파일 실행 보류

 

암호화가 완료되면 "svchost.exe"에서 드랍된 부트로더 설치 프로그램인 "svchost.dll"가 실행된다. 해당 파일은 실행의 주체인 "svchost.exe"에서 해당 DLL 파일의 함수를 호출하여 실행되며 감염된 PC의 부팅이 불가능하게 한다. 사용자가 PC를 부팅할 때 "Moses Staff" 해킹 그룹의 데이터 유출 사이트와 텔레그램 주소가 화면에 나타난다.

 

하지만 분석 시점에서 드라이버 파일의 인증서가 만료되어 암호화 및 부트로더 설치 동작이 수행되지 않았다.

 

[그림 9] 부트로더 설치하는 함수를 호출하는 코드

 

"Moses Staff" 해킹 그룹이 유포시킨 악성코드는 반 유대주의를 내세워 유대주의자들의 범죄를 폭로하겠다는 메시지를 전하며 현대 사회에서 등장한 새로운 시위 방법 중 하나로 보여진다.

 

해당 악성코드는 디스크를 암호화하는 등 랜섬웨어의 성격을 갖고있으며 금전을 노린 랜섬웨어와 달리 협상의 의지를 보이지 않고, 감염된 PC를 사용하지 못하도록 디스크 파괴를 목적으로 한다. 따라서 사용자는 보안에 신경 써 사전에 감염되지 않도록 하는 것이 중요하다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.