분석 정보 849

오토잇 스크립트를 활용하는 SuperBear RAT

최근 공격 대상의 조직 구성원을 사칭한 이메일을 이용해 저널리스트를 대상으로 유포되는 “SuperBear” RAT가 발견됐다. 이메일에 첨부된 악성코드를 실행하면, 자동화 프로그램인 오토잇(AutoIt)의 실행파일과 스크립트가 다운로드 되며, 해당 스크립트는 프로세스 할로잉(Process Hollowing) 기술을 사용해 “SuperBear” 코드를 메모리에 주입한다. 이후, “SuperBear”는 C&C 서버에 연결해 명령어를 수신하고, 추가적인 악성 동작을 수행한다. 오토잇 스크립트가 실행되면, 먼저 내부 데이터를 복호화해 “SuperBear”의 PE 코드를 생성한다. 이후, 프로세스 할로잉 대상이 될 “explorer.exe” 프로세스의 인스턴스를 suspended 상태로 생성한다. 생성된 “exp..

BPFDoor 변종 발견 및 유형별 BPF 필터 코드 차이점 비교

1. 개요 올해 5월, “BPFDoor” 악성코드의 새로운 버전이 발견됐다. “BPFDoor” 악성코드는 커널 필터링 기능인 BPF(Berkley Packet Filter)를 사용해 들어오는 트래픽을 방화벽이 탐지하기 전에 필터링한다. 필터링을 통과한 후에는 감염된 PC에서 공격자가 보낸 데이터나 명령에 따른 행위를 수행한다. “BPFDoor” 변종의 주요 특징은 공격자의 C&C 서버와 통신하는 방식을 변경했다는 점이다. 이전 버전은 바인드 셸 방식과 iptables의 규칙을 변경해 네트워크를 연결했었다. 그러나 변종 악성코드에서는 리버스 셸 방식으로 네트워크를 연결한 후 공격자가 전송한 명령을 실행한다. 추가로 프로그램 내부에서 매직 패킷(Magic Packet)을 확인해 필터를 통과한 경우에만 네트워..

피싱 이메일로 유포되는 Rhysida 랜섬웨어

최근 전 세계의 교육, 군사 및 의료 등 다양한 분야를 대상으로 하는 “Rhysida” 랜섬웨어의 공격 사례가 잇따라 발견되고 있다. 공격자는 피싱 이메일로 사용자 PC에 접근한 후, 코발트 스트라이크(Cobalt Strike)와 같은 명령 및 제어 프레임워크를 이용해 해당 랜섬웨어를 다운로드한다. 이후, 원격 제어 프로그램 “Psexec”를 이용해 다운로드한 랜섬웨어를 실행한다. “Rhysida” 랜섬웨어는 사용자 PC의 파일을 암호화하고, “CriticalBreachDetected.pdf”란 이름의 랜섬노트를 생성한다. 해당 랜섬웨어는 암호화된 파일의 파일명에 “[.rhysida]” 확장자를 추가한다. 암호화는 랜섬웨어 실행 시 대상 폴더를 지정할 수 있으며, 대상 폴더를 생략하면 시스템 전체를 대상..

OpenCarrot 백도어

Sentinel Labs에 의해, 러시아의 군용 제조업체에 발생한 침해 공격이 북한의 소행인 것으로 밝혀졌다. 해당 공격에서 OpenCarrot 이라는 Windows 백도어를 사용하였으며, 이메일 등을 통해 유포된 것으로 전해진다. 백도어는 비정상적인 인증 과정을 통해 시스템에 접근하고, 시스템에 설치되면 다양한 악성 동작을 수행한다. OpenCarrot 백도어의 경우, 아래의 그림과 같이 복잡한 페이로드를 통해 사용자 PC에 설치된다. 해당 파일은 시스템 파일에 인젝션하여 바이너리를 다운로드하고, 다운로드된 바이너리를 통해 최종적으로 OpenCarrot 백도어가 생성된다. 해당 파일이 실행되면, 시스템 폴더에 실행 파일 중에서 UAC 권한 상승이 필요없는 파일을 대상으로 프로세스를 생성하여 코드 인젝션..

Outlook 사용자를 대상으로 유포되는 ORPC 백도어 악성코드

최근 “Bitter” 해커 그룹의 새로운 공격 도구인 “ORPC” 백도어가 발견됐다. 해당 백도어는 전자 메일 서비스 Outlook 사용자를 대상으로 유포되며, Microsoft Office의 구성요소 중 하나인 “OLMAPI32.DLL” 파일로 위장한다. 해당 DLL은 Outlook 실행 시 로드되는 모듈로 사용자가 Outlook을 실행하면, 백도어는 해당 DLL을 하이재킹해 대신 로드된 후 악성 동작을 수행한다. “ORPC” 백도어는 먼저 작업 스케줄러에 Outlook을 주기적으로 실행하는 새로운 작업을 추가해 지속성을 획득한다. 해당 작업은 [그림 1]과 같이 “Miscrosoft Update”라는 이름으로 등록돼 정상 작업처럼 위장한다. 이후, 감염된 PC의 프로세스 목록과 시스템 정보를 수집한다..

구글 광고로 유포되는 Statc Stealer

공격자가 정상적인 웹사이트, 프로그램으로 위장하며 사용자를 속이고, 악성 파일을 실행하도록 유도하는 일은 늘 있었다. 최근에는 한발 더 나아가 구글 검색 결과 상단에 노출되는 광고에 정상 웹사이트로 위장한 피싱 사이트를 게시하는 등, 대담한 모습을 보이고 있다. 이번에 발견된 Statc Stealer 도 이러한 방식으로 구글 광고를 통해 사용자를 끌어들인 후 악성 파일의 다운로드, 실행을 유도하고 있다. 피싱 사이트로부터 다운로드받은 Statc 드랍퍼는 유효하지 않은 Dropbox 社 인증서로 Signing 된 채, Avanquest 社에서 개발한 Expert PDF 라는 이름의 정상 프로그램으로 위장하여 유포되었다. 드랍퍼가 실행되면 %LOCALAPPDATA%\Temp 경로에 정상 프로그램으로 위장하기..

웹 브라우저 업데이트로 위장한 RedEnergy 스틸러

웹 브라우저 업데이트로 위장해 “RedEnegy” 스틸러를 유포하는 캠페인이 발견됐다. 주요 대상은 브라질과 필리핀의 산업 분야이며, 공격자는 대상 산업의 홈페이지 링크를 리다이렉션해 가짜 사이트로 접속을 유도한다. 해당 사이트는 웹 브라우저 업데이트가 필요하다는 메시지와 함께 다운로드 링크를 제공한다. “RedEnergy” 스틸러는 해당 링크에서 다운로드 되며, 실행 시 감염 PC에서 정보를 탈취한다. 또한, 파일을 암호화하고 파일 복구를 빌미로 랜섬머니를 요구하는 랜섬웨어의 동작도 수행한다. “RedEnergy” 스틸러를 실행하면, 임시 폴더에 2개의 파일을 드롭한다. 하나는 실제로 웹 브라우저를 업데이트하는 정상 파일이고, 다른 하나는 악성 동작을 수행하는 악성코드이다. - 파일명 : tmp[4자리..

FluHorse

Fortinet 에 따르면, 최근 Flutter 오픈 소스 SDK를 사용한 악성 애플리케이션이 다량 발견된 것으로 전해진다. Flutter는 구글에서 제공하는 오픈소스 UI 개발 키트로, 이를 통해 제작된 애플리케이션은 리버싱이 어렵다는 점을 악용한 것으로 보여진다. 이러한 악성코드는 지난 6월에 처음 발견되었으며, 최근까지 지속적으로 나타나고 있다. 아래의 그림은 ‘BadgeProvider’라는 이름으로 유포된 악성코드의 실행화면으로, 애플리케이션의 이름으로 유추할 수 있는 동작보다 과도한 권한을 요구한다. 위의 권한을 획득하면, 단말기의 모델명, 전화번호, 네트워크 관련 정보 및 위치 등의 정보를 수집하여 원격지로 전송한다. 이때 공격자가 지정한 uid, password 파라미터를 함께 전송하여 공격..

SNS를 위장한 정보탈취 악성 앱

최근, 단말기의 각종 정보를 탈취하고 원격 제어 동작을 수행하는 안드로이드 악성 애플리케이션이 발견되었다. 해당 앱은 Instagram을 위장하여 유포되었으며, 오픈소스인 Firebase Realtime Database를 악용하여 원격지와 통신하며 악성 동작을 수행한다. 해당 앱을 실행하면 좌측 하단의 그림과 같이 정상 Instagram 애플리케이션을 설치 및 실행하도록 한다. 로그인 버튼을 클릭하면, 정상 Instagram 로그인 페이지를 띄우면서 사용자를 속인다. 악성동작이 실행되기 위해, 아래의 그림과 같이 접근성 및 알림창 접근, admin의 권한을 요구한다. 이때, Admin 권한을 획득했다가 Disable 요청 이벤트가 발생되면 사용자 단말기 잠금 암호를 1234로 설정하고 Lock 해버린다...

Gravity RAT

메신저 앱으로 위장하여 사용자의 정보를 탈취하는 Gravity RAT이 다시 등장하였다. ESET에 따르면, 해당 악성 코드는 2015년부터 모습을 드러낸 것으로 전해진다. 아직 배후는 밝혀지지 않았으며, Windows, Android 및 macOS 등의 시스템에서 사용된 흔적이 발견되었다. 최근 확인된 캠페인에서는 각종 메신저 애플리케이션으로 위장한 형태로, SMS 메시지 및 통화 기록 등 단말기에 저장된 정보를 탈취한다. 아래의 그림은 BingeChat 메신저 앱으로 위장한 Gravity RAT의 실행화면이다. 정상적인 메시지 서비스를 제공한다. 정상적인 애플리케이션의 동작을 수행하지만, 백그라운드 모드에서 원격지와 통신하면서 각종 정보를 탈취한다. 먼저, 외부저장소에 저장된 특정 확장자의 파일 리스..