분석 정보/악성코드 분석 정보

파키스탄 APT 그룹 SideCopy의 새로운 정보 탈취 악성코드 등장

2022. 2. 15. 16:12

2019년에 처음 등장한 "SideCopy" 해킹 그룹은 주로 남아시아 국가, 특히 인도와 아프가니스탄을 대상으로 공격하는 것으로 알려졌다. 해당 악성코드는 주로 MS Publisher 또는 이미지 뷰어로 위장한 아카이브 파일로 유포되며 현재 진행중인 캠페인은 주로 정부나 군 관계자들을 목표로 하여 맞춤화된 문서나 이미지로 유포된다.

 

"SideCopy" 해킹 그룹의 악성코드는 페이로드가 포함된 MS Publisher 문서와 같은 아카이브 파일로 유포된다. 해당 문서 파일은 목표 대상이 흥미를 끌 수 있는 내용의 문서로 작성돼 있으며 실행 시, 페이로드를 로드하는 파일인 "Crebiz.exe"과 감염된 PC의 정보를 탈취한 후 공격자의 서버로 전송시키는 파일인 "TextShaping.dll" 파일을 드랍한다. 또한, 재부팅 시에도 악성코드가 실행될 수 있도록 지속성을 획득한다.

 

또한, "SideCopy" 해킹 그룹은 'Scout'라는 시스템을 이용하여 감염된 PC를 모니터링하며 해당 시스템의 대시보드에는 감염된 PC에서 탈취한 정보들이 게시되어 있다. 현재 해당 서버는 닫혀 있어 접속이 불가능하다.

 

[그림 1] SideCopy 그룹의 Scout 시스템

사진 출처 : MalwareByte

 

Analysis

"SideCopy" 그룹의 악성코드는 시작 파일을 실행하면 "%ProgramData%\Oracle" 경로에 로더와 인포 스틸러를 드랍한다.

 

[그림 2] 파일 드랍 및 실행

 

페이로드를 실행하기 이전에 백신 프로그램을 탐색한 후 재부팅 시 악성코드가 자동으로 실행될 수 있도록 지속성을 획득한다.

 

[그림 3]과 같이 특정 백신 프로그램이 발견되면 악성코드와 동일한 경로에 배치 파일을 드랍한 후 실행한다. 실행되는 배치 파일은 악성코드를 레지스트리에 등록하여 지속성을 획득한다. 해당 백신 프로그램 이외의 프로그램이 발견되면  시작 폴더에 바로가기 파일을 등록하여 지속성을 획득한다.

 

[그림 3] 백신 프로그램 탐색 및 지속성 획득

 

[그림 4] 드랍된 배치 파일 코드

 

"Credbiz.exe" 라는 로더 파일은 "TextShaping.dll" 파일을 로드하여 정보 탈취 동작을 수행한다. 감염된 PC에서 탈취하는 시스템 정보 외에도 사용자 PC에 저장된 파일을 수집하여 '[공격자 서버 URL]/stream[탈취 파일 확장자]/[호스트 이름]_[사용자 이름]' 형식으로 서버에 전송한 후 게시한다.

 

[표 1] 탈취 정보 및 파일

 

최근, 정부 및 군 기관 등의 분야를 대상으로 피싱 메일을 보내 사용자를 속인 후, 악성코드를 실행하는 캠페인이 발견되고 있어 주의가 필요하다. 따라서 사용자는 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화 면