Outlook 사용자를 대상으로 유포되는 ORPC 백도어 악성코드
최근 “Bitter” 해커 그룹의 새로운 공격 도구인 “ORPC” 백도어가 발견됐다. 해당 백도어는 전자 메일 서비스 Outlook 사용자를 대상으로 유포되며, Microsoft Office의 구성요소 중 하나인 “OLMAPI32.DLL” 파일로 위장한다. 해당 DLL은 Outlook 실행 시 로드되는 모듈로 사용자가 Outlook을 실행하면, 백도어는 해당 DLL을 하이재킹해 대신 로드된 후 악성 동작을 수행한다.
“ORPC” 백도어는 먼저 작업 스케줄러에 Outlook을 주기적으로 실행하는 새로운 작업을 추가해 지속성을 획득한다. 해당 작업은 [그림 1]과 같이 “Miscrosoft Update”라는 이름으로 등록돼 정상 작업처럼 위장한다.
이후, 감염된 PC의 프로세스 목록과 시스템 정보를 수집한다.
정보 수집을 완료한 후, 정보 전송, 명령 및 제어를 위한 C&C 서버와 연결한다.
C&C 서버와 연결에 성공하면, 서버는 클라이언트 ID를 할당해 감염된 PC를 구분하며, ID는 [그림 4]와 같이 감염된 PC에 저장된다.
추가로, 서버는 감염된 PC에 명령 코드를 전송해 악성 동작을 수행한다. [표 1]은 명령 코드와 그에 따른 동작을 나타낸다.
“ORPC” 백도어는 Microsoft Office의 구성요소로 위장해 Outlook과 함께 실행되며, 사용자가 악성코드 감염 여부를 인지하기 어렵다. 또한, 해당 백도어는 주기적으로 실행돼 지속적인 피해를 줄 수 있어 사용자의 주의가 필요하다. 따라서, 피해를 최소한으로 예방하기 위해서 백신 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.