분석 정보/악성코드 분석 정보

BazaLoader 및 IcedID를 배포하던 그룹의 새로운 Bumblebee 악성코드

2022. 5. 10. 16:02

최근 “BazaLoader” 및 “IcedID”를 배포하던 사이버 해킹 그룹이 “Bumblebee” 라는 새로운 악성코드를 유포하기 시작했다. 해당 악성코드를 배포하기 위해 공격자는 대상에게 바로 가기 파일과 DLL 파일이 포함된 ISO 파일을 첨부하여 메일을 전송하는 것으로 알려졌다.

 

“Bumblebee” 악성코드는 ISO 파일 내부에 있는 LNK(바로 가기) 파일을 실행하면 정상 프로세스인 “rundll32.exe”를 통해 DLL 파일을 로드하여 실행한다. 실행된 DLL 파일은 감염된 시스템의 권한을 획득하여 사용자의 PC를 원격으로 제어하며 추가 악성코드를 다운로드하고, APC(비동기 프로시저 호출) 인젝션을 통해 실행한다.

 

Analysis

“Bumblebee” 악성코드는 ISO 파일로 유포되며 내부에는 사용자 PC와 공격자 서버 간의 통신을 시도하는 DLL 파일과 해당 DLL 파일을 실행하는 바로 가기 파일이 존재한다.

 

[그림 1] 배포된 ISO 내부 파일

 

바로 가기 파일을 통해 DLL 파일이 실행되면 “aVps1group”라는 이름의 그룹 ID를 사용하여 시작된다. 이후, 해당 악성코드에서 사용할 모듈을 로드하여 악성 동작을 수행할 준비를 마친다.

 

[그림 2] 그룹 ID 사용 및 감염 세팅

 

추후 공격자 서버에서 감염된 PC를 용이하게 관리하기 위해 고유한 ID를 만드는 동작을 한다. 해당 동작을 위해 감염된 PC의 시스템 정보를 수집하며 동작은 WMI 쿼리를 통해 이루어진다.

(WMI 쿼리란 윈도우 환경에서 관리를 용이하게 할 수 있는 도구 모음으로 윈도우 리소스를 쉽게 관리, 구성 및 모니터링 할 수 있는 수단이다.)

 

[그림 3] 시스템 정보 수집 루틴

                             

이후, 수집한 정보를 토대로 MD5 해시 값을 생성하며 생성된 값은 공격자 서버와 통신할 때 사용되는 고유 ID로 사용된다.

 

[그림 4] 고유 ID 생성 루틴

 

또한, 감염된 PC의 고유 ID 생성을 마치면 해당 ID를 구분하기 위한 시스템 정보를 추가적으로 수집한다. 수집하는 정보는 [표 1]과 같다.

 

[표 1] 수집되는 시스템 정보

 

그 후, 공격자의 C&C 서버와 연결을 시도하며 수집한 정보를 전송한다. 또한, 정해진 시간마다 공격자 서버와의 연결을 확인하여 수신된 명령을 확인하고, 해당 명령에 맞는 동작을 수행한다.

 

[그림 5] 공격자 C&C 서버와 통신

 

공격자가 발신한 명령은 “response_status”라는 이름으로 카운트되며 해당 카운트가 양수이면 다음 루틴을 실행한다. 루틴이 시작되면 공격자의 서버에서 수신한 명령 목록이 “task”라는 이름으로 지정된 메모리에 저장되고, 동작을 수행한다.

 

지정된 동작 목록은 [표 2]와 같다.

 

[표 2] 지정된 공격자 명령 목록

 

아래는 공격자의 명령에 따른 동작 정보이다.

 

1. Shi & Dij

공격자의 명령이 “Shi” 또는 “Dij” 일 경우 공격자가 지정한 파일을 탐색한다. 이후, 해당 파일에 쉘 코드(Shi) 또는 DLL 파일(Dij)를 작성해 APC(비동기 프로시저 호출) 인젝션을 수행한다.

 

[그림 6] 쉘 코드 인젝션 명령 실행 루틴1 (Shi & Dij)

 

APC 인젝션 루틴은 지정된 프로세스를 일시 중단된 상태로 실행시키고, 디버그 권한을 활성화하여 하드 코딩된 32 Bytes의 쉘코드를 프로세스 내부에 작성하면서 시작된다.

 

해당 쉘코드는 추후에 공격자가 원하는 페이로드 작성을 마치면 “SleepEx” API를 호출하여 페이로드를 실행할 수 있다.

 

[그림 7] 쉘 코드 인젝션 명령 실행 루틴2 (Shi & Dij)

 

이후, 공격자의 서버에서 수신한 페이로드를 지정된 프로세스에 작성한다.

 

[그림 8] APC 인젝션을 위한 페이로드 작성

 

마지막으로 “NtQueueAPCThread” API를 호출하여 APC 인젝션을 마치고, 공격자가 작성한 페이로드를 실행한다.

 

[그림 9] APC 인젝션 마무리

 

2. Dex

공격자의 명령이 “Dex” 일 경우는 “%APPDATA%\wab.exe”라는 이름의 파일을 생성하고, 공격자 서버에서 수신한 데이터를 작성한다.

 

[그림 10] 파일 드랍 루틴 (Dex)

 

3. Sdl

공격자의 명령이 “Sdl” 일 경우는 파워쉘을 통해 “Bumblebee” 악성코드를 삭제한다.

 

[그림 11] Bumblebee 파일 삭제 루틴 (Sdl)

 

4. Ins

공격자의 명령이 “Ins” 일 경우는 “Bumblebee”의 DLL 파일을 “%APPDATA%”에 복제하고, 해당 DLL 파일을 로드하는 VBS 파일을 생성한다. 파일 생성을 마치고 해당 VBS 파일을 실행하도록 작업 스케줄러에 등록한다.

 

[그림 12] VBS 파일 생성 및 작업 스케줄러 등록 루틴 (Ins)

 

“Bumblebee” 악성코드는 사용자의 PC를 원격으로 제어할 수 있으며 추가 페이로드를 다운로드한다. 또한, 메일에 첨부된 파일을 통해 악성코드를 유포하고, APC 인젝션을 통해 백신 프로그램 탐지 우회를 시도한다는 점에서 출처가 불분명한 메일에 첨부된 파일을 실행할 때에는 주의를 기울이도록 해야한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.