분석 정보/악성코드 분석 정보

중동을 대상으로 공격하는 Molerats 해커 그룹

2022. 2. 17. 09:53

최근 중동 국가를 대상으로 공격하는 캠페인이 발견됐다. 해당 캠페인은 "Molerats" 해커 그룹의 소행으로 추정되며, 공격자들은 문서 파일을 사용해 악성코드를 유포했다.

 

"Molerats" 해커 그룹은 악의적으로 조작한 문서 파일을 사용자가 실행하도록 유도한다. 먼저, 문서 내부의 매크로나 외부 링크를 변경해 공격자의 C&C 서버에서 파일을 다운로드한 후 실행한다. 이 과정에서 다운로드한 파일은 백도어 악성코드로 공격 대상 환경에서 명령을 실행하거나 추가 파일 다운로드 및 업로드 등의 행위를 수행한다.

 

[그림 1] Molerats 해커 그룹 악성코드 유포 및 실행 흐름도

 

먼저, 사용자가 Molerats 해커 그룹이 악의적으로 조작한 문서를 실행하면 내부의 매크로가 동작해 악성코드를 다운로드한 후 실행한다.

 

[그림 2] 공격에 사용한 문서 및 매크로

 

[그림 2]와 같이 매크로를 사용하는 방식 외에도 [1]처럼 외부 링크를 사용하는 경우도 발견됐다.

 

[표 1] Export URL

 

다운로드한 파일을 실행한 후, 공격자가 운영하는 C&C 서버와 정상적으로 연결되면 명령을 전달받아 [1]과 같이 처리한다.

 

[표 2] 명령 정보

 

이 과정에서 Molerats 해커 그룹은 웹 기반의 파일 공유 서비스인 Dropbox를 악용한다. [그림 3] Dropbox에서 제공하는 DropboxAPI를 사용해 공격자가 미리 설정한 Dropbox 계정과 통신하기 위한 연결 코드이다.

 

[그림 3] 공격자의 C&C 서버 연결 코드

 

이후, 공격자의 Dropbox 계정으로의 연결을 시도하지만 분석 시점에서는 연결되지 않았다.

 

[그림 4] 공격자의 C&C 서버 연결 패킷

 

Molerats 해커 그룹과 관련한 자세한 정보는 자사 블로그에서도 언급한 바가 있어, 아래의 링크에서 확인할 수 있다.

2021.06.28 - LastConn 악성코드를 유포하는 Molerats 해커 그룹

 

 

최근, 문서를 악의적으로 조작해 사용자를 속이거나 정상적인 파일 공유 서비스 등을 악용해 악성코드를 유포하는 캠페인이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면