Ãʱâ Á¢±ÙÀº Á¤»ó À̸ÞÀÏ·Î ½ÃÀÛ, ¹ÝÀÀÇü ½ºÇǾîÇÇ½Ì Àü·« ±¸»ç
ÇÕ¹ýÀûÀÎ µå·Ó¹Ú½ºÀÇ ´Ù´Ü°è °ø°Ý üÀΰú TutorialRAT °ø°Ý È°¿ë
APT43 ±×·ìÀÇ BabyShark À§Çù Ä·ÆäÀÎ ¿¬Àå¼±À¸·Î È®ÀÎ
[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ºÏÇÑ ÇØÄ¿Á¶Á÷ APT43 ±×·ìÀÌ ´Ù´Ü°è °ø°Ý üÀÎÀ» È°¿ëÇØ ½Ã±×´Ïó ±â¹Ý Anti-Virus ŽÁö ±â¼ú ȸÇÇ¿¡ ÁýÁßÇÑ °ÍÀ¸·Î µå·¯³µ´Ù. µå·Ó¹Ú½º(DropBox) Ŭ¶ó¿ìµå ÀúÀå¼Ò¸¦ °ø°Ý °ÅÁ¡À¸·Î È°¿ëÇßÀ¸¸ç, À§Çù ¸ð´ÏÅ͸µ ¹üÀ§¿¡¼ Å»ÇÇÇϱâ À§ÇÑ Àü¼ú ³ë·Âµµ ½ÃµµÇÑ Á¤È²ÀÌ Æ÷ÂøµÆ´Ù. ƯÈ÷ ¡®¹Ù·Î°¡±â(LNK)¡¯ ŸÀÔÀÇ °ø°ÝÀÌ Áö¼ÓµÅ °¢º°ÇÑ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.
¡ãAPT43 ±×·ìÀÇ DropBox ±â¹Ý BabyShark °ø°Ý È帧µµ[À̹ÌÁö=Áö´Ï¾ð½º]
Áö´Ï¾ð½º ½ÃÅ¥¸®Æ¼ ¼¾ÅÍ(ÀÌÇÏ GSC) ÃøÀº ¡°Áö³ÇØ ¸» Çѱ¹³» ÅëÀÏºÐ¾ß Á¤Ã¥ °£´ãȸ ¹× °¿¬, »ç·Êºñ Áö±Þ¼½Ä ¹®¼·Î À§ÀåµÈ HTML À¯ÇüÀÇ °ø°ÝÀÌ ´Ù¼ö Æ÷ÂøµÆ´Ù¡±¸ç ¡°ÀÌ´Â ÀüÇüÀû ½ºÇǾî ÇÇ½Ì ±â¹ÝÀÇ APT °ø°ÝÀ¸·Î ½ÇÁ¦ Á¤ºÎ±â°üÀÌ »ç¿ë ÁßÀÎ º¸¾È¸ÞÀÏ ³»¿ªÃ³·³ À§ÀåÇÑ °Ô Ư¡¡±À̶ó°í ¹àÇû´Ù.
°ø°Ý ½Ã³ª¸®¿À
´ç½Ã À§Çù ÇàÀ§ÀÚ´Â º¸¾È¸ÞÀÏ·Î À§ÀåµÈ HTML ÄÚµå ¼Ó¿¡ ¾ÐÃà ÆÄÀÏÀ» »ðÀÔÇß´Ù. ±× ´ÙÀ½ ¾ÐÃà ³»ºÎ¿¡ ¹Ì³¢¿ë Á¤»ó ¹®¼¿Í ÇÔ²² ¡®¹Ù·Î°¡±â(LNK)¡¯ À¯ÇüÀÇ ¾Ç¼ºÄڵ带 ³Ö¾î Àü´ÞÇÏ´Â Àü·«À» ±¸»çÇß´Ù. ÇØ´ç APT °ø°Ý Ä·ÆäÀÎ Áß ¸í·ÉÁ¦¾î(C2) ¼¹ö·Î ¾²ÀÎ ¡®meatalk[.]com¡¯, ¡®kyungdaek[.]com¡¯ µµ¸ÞÀο¡¼ ¡®r_enc.bin¡¯ À̸§ÀÇ ¡®TutorialRAT(TutRAT)¡¯ À¯Æ÷°¡ °üÂûµÈ ¹Ù ÀÖ´Ù.
¡ãÁ¤ºÎ±â°ü º¸¾È¸ÞÀÏ·Î À§ÀåµÈ HTML ½ÇÇà ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
ÀÌ·¯ÇÑ »ç·Ê ÀÌÈÄ °ø°Ý ´ë»ó¿¡ µû¶ó Àü¼úÀÌ ÀϺΠº¯°æµÆ´Ù. ºñÆ®ÄÚÀΰú °°Àº °¡»óÀÚ»êÀ̳ª ´ëºÏ ¹× ¾Èº¸ºÐ¾ß Á¾»çÀÚ °Ü³É ½Ã Ŭ¶ó¿ìµå ÀúÀå¼ÒÀÇ À¯È¿ URL ¸µÅ© ÁÖ¼Ò¸¦ ÅëÇØ ¾Ç¼º ¾ÐÃà ÆÄÀÏÀ» ´Ù¿î·ÎµåÇϵµ·Ï À¯µµÇß´Ù.
ÀÌ·¯ÇÑ ÃʱâħÅõ´Â ÀϹÝÀû ½ºÇǾîÇÇ½Ì ¼ö¹ýÀÌ ¾²ÀÌÁö¸¸, ¾Ç¼º ¸í·ÉÀÌ ÀÛµ¿ÇÏ´Â °úÁ¤°ú À§Çù ÀÎÇÁ¶ó´Â ŽÁö ȸÇǸ¦ À§ÇØ Áö¼ÓÀûÀ¸·Î º¯ÈµÉ ¼ö ÀÖ´Ù. GSC Á¶»ç¿¡ µû¸£¸é 2024³â 1ºÐ±â±îÁö ÀÌ¿Í À¯»çÇÑ °ø°Ý ÆÐÅÏÀº Áö¼ÓÀûÀ¸·Î ¹ß°ßµÆ°í, APT43 ±×·ìÀÇ ¡®BabyShark¡¯ ÄÉÀ̽º¿Í µ¿ÀÏÇÑ ¹®ÀÚ¿ÀÎ ¡®¹ÂÅؽº(Mutex)¡¯ °ªÀÌ ½Äº°µÆ´Ù.
¡ã½ÇÁ¦ ½ºÇǾî ÇÇ½Ì °ø°Ý ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
À̹ø °ø°ÝÀº ¸¶Ä¡ ÁÖÁß Çѱ¹´ë»ç°ü¿¡¼ ¹ß¼ÛµÈ ¸ÞÀÏó·³ À§ÀåÇß´Ù. ½ÇÁ¦ ÀÌ ³»¿ëÀº Çѱ¹ÀÇ ¾Èº¸ºÐ¾ß ƯÁ¤ Àü¹®°¡¿¡°Ô ¼ö½ÅµÆ°í, °ø°ÝÀº ÁÖÁß´ë»ç°ü Á¤Ã¥°£´ãȸ ºñ°ø°³ ȸÀÇ Âü¼®¿äû °Çó·³ ÇöȤÇØ Á¢±ÙÇß´Ù.
°ø°Ý Ãʱ⿡´Â Á¤Ã¥°£´ãȸ ¹× ȸÀÇ Âü¼® ¾È³»¸¦ ¼Ò°³ÇÏ°í, ³ª¸§´ë·Î ½Å·Úµµ¸¦ ³ô¿©°¬´Ù. ±×·¸°Ô ¼öÂ÷·Ê ¸ÞÀÏÀ» ÁÖ°í¹Þ´Ù°¡ °£´ãȸ °èȹ¾È ¹®¼¸¦ Àü´ÞÇß´Ù. À̶§, Áß±¹ ÀÎÅÍ³Ý °¨½Ã ½Ã½ºÅÛÀÎ ¡®¸¸¸®À强 ¹æȺ®(Great FireWall of china, ÛÁûý长àò)¡¯ ¶§¹®¿¡ ¸ÞÀÏÀÌ ¹ß¼ÛµÇÁö ¾Ê´Â´Ù¸ç ±¸±Û µå¶óÀÌºê ¸µÅ©·Î º¸³»°Ú´Ù°í ¼³¸íÇß´Ù.
±×·¸°Ô ±¸±Û µå¶óÀÌºê ¸µÅ©¸¦ ÅëÇØ ¡®202404주중대사관 정책간담회.rar¡¯ ÆÄÀÏÀÌ Àü´ÞµÆ´Ù. ¾ÐÃàÆÄÀÏ ³»ºÎ¿¡´Â ¾Ç¼º ÆÄÀÏÀÌ Æ÷ÇԵŠÀÖ´Ù. °ø°ÝÀÚ´Â Áß±¹ ºÏ°æ¿¡¼ ÁøÇàµÇ´Â ȸÀÇó·³ ¼Ò°³Çϸç, Ãâ±¹ ÀÏÁ¤ Á¶À²°úÁ¤¿¡¼ Çѱ¹¿¡¼ »ý¼ÒÇÑ ¡®ÀÎÂ÷¡¯¶ó´Â Ç¥ÇöÀ» »ç¿ëÇß´Ù. ÇÏÁö¸¸ ¡®ÀÎÂ÷¡¯¶ó´Â ´Ü¾î´Â ¡®À̳»¡¯¶ó´Â ÀǹÌÀÇ ºÏÇѾî´Ù.
¡ã¿øµå¶óÀÌºê ¸µÅ©·Î Àü´ÞµÈ °ø°Ý »ç·Ê[À̹ÌÁö=Áö´Ï¾ð½º]
ÀÌ´Â °ø°ÝÀÚ°¡ ½ÅºÐÀ» À§ÀåÇÏ°í ¼ö½ÅÀÚ¿Í ¼öÂ÷·Ê ¸ÞÀÏÀ» ÁÖ°í ¹ÞÀ¸¸ç, Àڽŵµ ¸ð¸£°Ô Æò¼Ò »ç¿ëÇÏ´ø ¾ð¾îÀû ½À°üÀ» ½Ç¼ö·Î ³ëÃâÇÑ °ÍÀ¸·Î OPSEC Fail ÈçÀû¿¡¼ Áß¿äÇÑ ´Ü¼´Ù. ÀÌ¿Í À¯»çÇÑ °ø°ÝÀº ÃÖ±Ù ´Ù¾çÇÑ ÇüÅ·Π¹ß°ßµÇ°í ÀÖÀ¸¸ç, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(MS)»çÀÇ OneDrive ¸µÅ©¸¦ È°¿ëÇÏ´Â µî ÇÕ¹ýÀûÀΠŬ¶ó¿ìµå ¸µÅ©¸¦ ÅëÇÑ À¯»ç °ø°ÝÀÌ À̾îÁö°í ÀÖ´Ù.
¾Ç¼º ÆÄÀÏ ºÐ¼®
½ÇÁ¦ APT °ø°Ý¿¡ ¾²ÀÎ ¾Ç¼º ÆÄÀÏÀº ´Ù¾çÇÑ ÇüÅÂÀÇ º¯Á¾µéÀÌ Á¦À۵Š±¹³»¿¡ À¯Æ÷µÇ°í ÀÖ´Ù. ÃÖ±Ù ±¹³» »ç·Ê¿¡¼ ½Äº°µÈ µÎ°³ÀÇ ÆÄÀÏÀº RAR ¾ÐÃà ÇüÅÂÀε¥, ¡â202404주중대사관 정책간담회.rar ¡â국회입법조사처 정책간담회.rar µîÀÌ´Ù. ¸ðµÎ ¾ÏÈ£°¡ ¼³Á¤µÈ ¾ÐÃà ÆÄÀÏÀ̱⠶§¹®¿¡ °ø°Ý Ãʱ⿡ Anti-Virus ½Ã±×´Ïó ŽÁöÀ²Àº 0%¿¡ °¡±õ´Ù.
RAR ¾ÐÃà ³»ºÎ¿¡´Â Á¤»ó ÇÑÄĹ®¼(.hwp) ÆÄÀÏ°ú ÀÌÁß È®ÀåÀÚ·Î À§ÀåµÈ ¹Ù·Î°¡±â(.hwp.lnk) À¯ÇüÀÇ ¾Ç¼º ÆÄÀÏÀÌ ÇÔ²² Æ÷ÇԵŠÀÖ´Ù. °øÅëÀûÀ¸·Î Á¤»ó ¹®¼¿Í ¾Ç¼º ÆÄÀÏÀ» ÇÔ²² Æ÷ÇÔÇÑ ÇöȤ Àü·«¿¡ °¡±õ´Ù. µÎ ÄÉÀ̽º ¸ðµÎ °ÅÀÇ °°Àº ½Ã±â¿¡ µ¿ÀÏÇÏ°Ô ÁøÇàµÈ ½ÇÁ¦ °ø°ÝÀÌ´Ù.
¡®202404_주중한국대사관 한중 북중¡¤안보현안 1.5트랙 비공개 정책간담회 대면회의 계획(안).hwp.lnk¡¯ ÆÄÀÏÀ» »ìÆ캸¸é ¿©·¯ LNK ¹Ù·Î°¡±â ±â¹Ý °ø°Ý°ú ¸¶Âù°¡Áö·Î ÀǽÉÀ» ÇÇÇϱâ À§ÇØ Á¤»ó HWP ¹®¼¸¦ Æ÷ÇÔÇß´Ù. Æú´õ¿É¼Ç µðÆúÆ® Á¶°ÇÀÎ È®ÀåÀÚ ¼û±â±â°¡ ¼³Á¤µÈ °æ¿ì ¾ÆÀÌÄÜ È»ìÇ¥·Î ¾î´À Á¤µµ ±¸ºÐÀÌ °¡´ÉÇÏ´Ù. ÆÄÀϸíÀ» ±æ°Ô ¸¸µé°Å³ª ´Ù¼öÀÇ °ø¹éÀ» ³Ö¾î ȸé»ó È®ÀåÀÚ°¡ »ý·«µÇµµ·Ï Á¶ÀÛÇß´Ù.
ÀÌ·² °æ¿ì ÀÌ¿ëÀÚ´Â ¾ÆÀÌÄÜ ÁÂÃø ÇÏ´Ü¿¡ È»ìÇ¥ ±âÈ£°¡ Á¸ÀçÇÒ °æ¿ì À°¾È»ó LNK ÆÄÀÏÀ̶ó´Â °Í°ú ¾ÐÃà ÆÄÀÏ ³» Æ÷ÇÔ Á¶°ÇÀÌ ºÎÇÕµÉ °æ¿ì À§Çèµµ¸¦ ³ô°Ô ÁöÁ¤ÇÒ ¼ö ÀÖ´Ù.
½ÇÁ¦ °ø°Ý¿¡ ¾²ÀÎ ¡®202404_ÁÖÁßÇѱ¹´ë»ç°ü ÇÑÁß ºÏÁß¡¤¾Èº¸Çö¾È 1.5Æ®·¢ ºñ°ø°³ Á¤Ã¥°£´ãȸ ´ë¸éȸÀÇ °èȹ(¾È).hwp.lnk¡¯Àº ÆÄÀÏ ¼Ó¼º Á¤º¸¸¦ ÅëÇØ ³»ºÎ¿¡ »ðÀÔµÈ cmd.exe ¸í·ÉÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ´Ù¸¸, Àüü ¸í·ÉÀº º°µµÀÇ ºÐ¼®À» ÅëÇØ ÆľÇÇØ¾ß ÇÑ´Ù.
³»ºÎ¿¡ »ðÀÔµÈ ¸í·ÉÀº PowerShell È£ÃâÀ» ÅëÇØ ÁøÇàµÈ´Ù. LNK ÆÄÀÏ Àüü Å©±â ¡®0x0010F27C¡¯(1,110,652 ¹ÙÀÌÆ®)¸¦ È®ÀÎÇÏ°í, Á¤»ó HWP ¹®¼°¡ ½ÃÀ۵Ǵ ¡®1,057,248¡¯ ¿ÀÇÁ¼ÂºÎÅÍ ³¡³ª´Â ¡®1,110,496¡¯ ¿ÀÇÁ¼Â À§Ä¡±îÁö È®ÀÎÇÑ ÈÄ ÆÄÀÏÀ» ±³Ã¼ÇÏ°í ½ÇÇàÇÑ´Ù. ÀÌ´Â ¾Ç¼ºÆÄÀÏÀÌ ½ÇÇàµÇ´Â ¼ø°£ ¾Ç¼º ±â´ÉÀº °è¼Ó ¼öÇàµÇ¸é¼ ÀÌ¿ëÀÚ¸¦ ¼ÓÀ̱â À§ÇØ Á¤»óÆÄÀÏ·Î ¹Ù²ãÄ¡±âÇÑ °ÍÀÌ´Ù.
±× ´ÙÀ½ PowerShell ¸í·ÉÀº ÇϵåÄÚµùµÈ µå·Ó¹Ú½º(DropBox)ÀÇ clientID, clientSecret, refreshToken °ªÀ» ÅëÇØ Access Token Å°¸¦ ȹµæÇÏ°í API Åë½ÅÀ» ¼öÇàÇÑ´Ù. ÇØ´ç ÀúÀå¼Ò ¼ÒÀ¯ÀÚÀÇ ¡®step5/ps.bin¡¯ °æ·Î·Î Á¢±ÙÇØ ÆÄÀÏÀ» ¿äûÇÏ°í, AESDecrypt ÇÔ¼ö ·çƾ°ú ¡®pa55w0rd¡¯ ºñ¹Ð¹øÈ£¸¦ °áÇÕÇØ º¹È£ÈÇÑ´Ù.
ÀÌ´Â °ø°ÝÀÚ°¡ µå·Ó¹Ú½º Ŭ¶ó¿ìµå ¼¹ö¿¡ ¡®step1¡¯ºÎÅÍ ¡®step8¡¯±îÁö ¸¸µé¾î ¾Ç¼ºÄڵ带 ³Ö¾î³õÀº ÈÄ °ø°Ý È°¿ë¿¡ Æí¸®ÇÏ°Ô ¼¼ÆÃÇØ ³õÀº °ÍÀ̶õ ¾ê±â´Ù.
´õºÒ¾î LNK ÆÄÀÏ ½ÇÇà ÈÄ¿¡ º¸¿©Áö´Â Á¤»ó HWP ¹®¼¿¡´Â [ºñ°ø°³]¶ó´Â Ç¥±â¿Í ÇÔ²² ¡®ÇÑÁß ºÏÁß¡¤¾Èº¸Çö¾È ºñ°ø°³ Á¤Ã¥°£´ãȸ °èȹ(¾È)¡¯ Á¦¸ñÀ¸·Î À§ÀåÇÏ°í ÀÖ´Ù.
º»¹®¿¡´Â °³ÃÖ ¸ñÀû°ú ¼¼ºÎ °èȹÀÌ ´ã°Ü Àִµ¥, 4¿ù19ÀÏ(±Ý) ¿ÀÀü 9½Ã 30ºÐºÎÅÍ ¿ÀÈÄ 4½Ã 20ºÐ±îÁö ÇÑÁß µ¿½ÃÅ뿪 Á¦°øÀ¸·Î ÁÖÁßÇѱ¹´ë»ç°ü¿¡¼ ÁÖÃÖÇÑ´Ù´Â ³»¿ëÀÌ ±âÀçµÅ ÀÖ´Ù. ±×¸®°í ¹®¼ Á¤º¸ ¿ä¾à ºÎºÐ¿¡ ¡®SoftPower¡¯ °èÁ¤ÀÌ ÁöÀºÀÌ·Î ±â·ÏµÅ ÀÖ´Ù.
ƯÈ÷ ù ¹ø° ´Ü°è¿¡¼ È£ÃâÇÏ´Â ¡®ps.bin¡¯ ÆÄÀÏÀÇ ÁÖ¼® ó¸®µÈ Äڵ忡´Â ¡®clientx64.bin¡¯À̶ó´Â ±â·ÏÀÌ ÀÖ´Ù. ÀÌ ÆÄÀÏÀº ű¹[TH] ¼ÒÀç ¾ÆÀÌÇÇ ¡®122.155.191[.]33¡¯ ÁÖ¼Ò¿¡¼ ¡®XenoRAT¡¯ ¾Ç¼ºÆÄÀÏÀÌ »ç¿ëµÈ ÀÌ·ÂÀÌ ÀÖ´Ù.
¡®XenoRAT¡¯¿Í °ü·ÃÇØ GSC´Â Áö³ 2¿ù 21ÀÏ ¡®»õÇØ ¿ÀÇǴϾð ¾ð·Ð Ä®·³ À§Àå ÇØÅ· ºÐ¼®¡¯ ¸®Æ÷Æ®¿¡¼ ¼Ò°³µÈ ¹Ù ÀÖÀ¸¸ç, À̹ø °ø°Ý »ç·Ê¿Í µ¿ÀÏÇÑ ¹èÈÄÀÇ ¼ÒÇàÀ¸·Î ºÐ·ùµÅ ÀÖ´Ù.
¡®r_enc.bin¡¯ À̸§ÀÇ ¡®TutRAT¡¯ ÆÄÀÏÀº ű¹ ¼ÒÀç C&C ¼¹ö¿¡¼µµ µ¿½Ã¿¡ ¹ß°ßµÆ°í, ¡®user.bin¡¯ ÆÄÀÏÀº ¡®clientx64.bin¡¯ ÆÄÀÏ°ú µ¿ÀÏÇÑ ¡®XenoRAT¡¯ ÆÄÀÏ·Î ºÐ¼®µÆ´Ù. ¸ðµÎ Gz ¾ÐÃà Æ÷¸ËÀ̸ç, C&C ³»¿ëÀº ¡®Å©¸®¹Ì³Î IP¡¯ Á¶È¸ °á°ú·Îµµ °ú°Å ³»¿ª È®ÀÎÀÌ °¡´ÉÇÏ´Ù.
PowerShell ¸í·ÉÀ¸·Î AESDecrypt ÇÔ¼ö¸¦ ÅëÇØ º¹È£È ÈÄ ½ÇÇàµÈ´Ù. ±×¸®°í DropBox Token °ªÀ» ÅëÇØ ÀúÀå¼Ò µ¿ÀÏ °æ·Î¿¡ Á¸ÀçÇÏ´Â ¡®r_enc.bin¡¯ ÆÄÀÏÀ» Àоî¿Â´Ù. Âü°í·Î °ø°Ý ¸í·É ³»ºÎ¿¡ Çѱ۷ΠµÈ ÁÖ¼®Ã³¸®°¡ ´Ù¼ö ¹ß°ßµÆ´Ù.
È£ÃâµÈ ¡®r_enc.bin¡¯ ÆÄÀÏÀº GzExtract ÇÔ¼ö¸¦ ÅëÇØ ¾ÐÃàÀÌ ÇØÁ¦µÇ°í, ³»ºÎ¿¡´Â TutorialRAT ¾Ç¼º ÆÄÀÏÀÌ Æ÷ÇԵŠÀÖ´Ù.
BASE64 ÀÎÄÚµù °ªÀ» ÆĶó¹ÌÅÍ·Î »ç¿ëÇϸç, ¾ÐÃà ÇØÁ¦ ÈÄ ¡®r_enc.bin¡¯ ÆÄÀÏÀ» ½ÇÇàÇÑ´Ù. ƯÁ¤ ¹®ÀÚ¿ È£ÃâÀ» ÅëÇØ µðÄÚµùµÈ °ªÀº ¡®version103.vbs¡¯ ÆÄÀϷΠƯÁ¤ °æ·Î¿¡ »ý¼º ÈÄ ½ÇÇàµÇ¸ç,ÀÌ ¸í·ÉÀº ¡®r_enc.bin¡¯ ÆÄÀÏ°ú ¿¬µ¿ÇØ ÀÛµ¿µÈ´Ù.
¡®version103.vbs¡¯ ½ºÅ©¸³Æ®´Â DropBox API ÅäÅ«À» ½ÇÇàÇÏ°í, ¡®step5¡¯ ÇÏÀ§ °æ·Î¿¡¼ ¡®info_sc.txt¡¯ ÆÄÀÏÀ» È£ÃâÇØ ½ÇÇàÇÑ´Ù.
¡®info_sc.txt¡¯ ÆÄÀÏÀº ¿ø·¡ DropBox ÅäÅ«À» »ç¿ëÇØ ¡®regard.co[.]kr¡¯ µµ¸ÞÀο¡¼ ¹Ì³¢¿ë Á¤»ó ¹®¼ ¡®5.hwp¡¯ ÆÄÀÏÀ» ´Ù¿î·Îµå ÇØ ÀÓ½ÃÆú´õ °æ·Î¿¡ ÀúÀåÇÑ´Ù. À̶§ »ç¿ëÇÏ´Â ÆÄÀϸíÀº ¡®¼¼Á¾¿¬±¸¼Ò_Á¦30±â_¼¼Á¾±¹°¡Àü·«¿¬¼ö°úÁ¤_°ÀÇÀÇ·Ú¼_***¿øÀå´Ô.hwp¡¯ÀÌ´Ù. ÇÏÁö¸¸ °ø°Ý Äڵ忡¼´Â ÁÖ¼®Ã³¸®µÇ¾î ÀÛµ¿ÇÏÁö ¾Ê°í ½ºÅµµÆ´Ù.
ÀÌÁß ¡®BabyShark Ä·ÆäÀΡ¯¿¡¼ »ç¿ëµÇ´Â À̸¥¹Ù ¡®RandomQuery¡¯ ŸÀÔÀÇ ½ºÅ©¸³Æ® ¸í·É ÀÌ·ÂÀÌ °üÂûµÇ°í, ÀÛ¾÷ ½ºÄÉÁÙ·¯ µî·Ï ºÎºÐ ¿ª½Ã ÁÖ¼®Ã³¸®µÅ ÀÖ´Ù. ¹°·Ð °ø°Ý¿¡ µû¶ó ½ÇÁ¦ À¯È¿Çß´ø »ç·Ê°¡ Á¸ÀçÇÑ´Ù. ÇØ´ç ÄÚµåÀÇ ÇÏ´Ü ¿µ¿ªÀº PowerShell ¸í·ÉÀ» ÅëÇØ ¡®info_ps.bin¡¯ ÆÄÀÏÀ» È£ÃâÇÑ´Ù.
¡®info_ps.bin¡¯ ÆÄÀÏÀº ÄÄÇ»ÅÍ ´Ü¸»ÀÇ ÁÖ¿ä Á¤º¸¸¦ ¼öÁýÇÏ´Â ½Ã½ºÅÛ ÀÎÆ÷½ºÆ¿·¯ ±â´ÉÀ» ¼öÇàÇÑ´Ù. ¼öÁýµÈ Á¤º¸´Â AESEncrypt ·çƾÀ¸·Î ¾ÏÈ£ÈÇÏ°í, ºñ¹Ð¹øÈ£´Â µ¿ÀÏÇÑ ¡®pa55w0rd¡¯ °ªÀ» »ç¿ëÇÑ´Ù.
¾ÏÈ£ÈµÈ °³ÀÎÁ¤º¸´Â DropBox ÀúÀå¼Ò ¡®log5¡¯ °æ·Î¿¡ ´Ü¸» IP ÁÖ¼Ò¸¦ Ãß°¡ÇØ ÇÇÇØÀÚ¸¦ °³Àκ°·Î ±¸ºÐÇÏ°í, ÇÏÀ§¿¡ ƯÁ¤ ÇüÅ·ΠÀúÀåÇÑ´Ù. ±×¸®°í DropBox ÅäÅ«À» ÅëÇØ ÀڷḦ À¯ÃâÇÑ´Ù.
¾Õ¼ ¡®info_sc.txt¡¯ ÆÄÀÏÀº ¹ß°ß ´ç½Ã ´Ù¼öÀÇ ¸í·É¾î°¡ ÁÖ¼®Ã³¸®µÈ »óÅ¿´´Ù. ÇÏÁö¸¸ ½ÇÁ¦ °ø°Ý »ç·Ê Áß¿¡´Â Äڵ尡 ¸ðµÎ ÀÛµ¿µÈ °æ¿ì°¡ Á¸ÀçÇÑ´Ù.
°ø°ÝÀÚ°¡ ÇØ´ç Äڵ带 È°¼ºÈÇÒ °æ¿ì ÀÛ¾÷ ½ºÄÉÁÙ·¯¿¡ µî·ÏµÈ PowerShell ¸í·ÉÀ» ÅëÇØ ¡®m_ps.bin¡¯ ÆÄÀÏÀ» È£ÃâÇØ º¹È£ÈÇÏ°í ½ÇÇàÇÑ´Ù.
¸í·ÉÀ» ¼öÇàÇÏ´Â DropBox ÀúÀå¼Ò¿¡´Â ¡®m_ps.bin¡¯ ÆÄÀÏÀÌ Á¸ÀçÇÏ°í, °ø°ÝÀÚ¿¡ µû¶ó °¡º¯Àû °ø°Ý¿¡ ¾²¿´´Ù°í º¼ ¼ö ÀÖ´Ù. ¡®m_ps.bin¡¯ ÆÄÀϵµ ¡®AESEncrypt¡¯, ¡®AESDecrypt¡¯ ÇÔ¼ö¸¦ °¡Áö°í ÀÖÀ¸¸ç, DropBox ¾×¼¼½º ÅäÅ« °ªÀ» µÎ¾ú´Ù.
Áߺ¹ ½ÇÇà ¹æÁö¸¦ À§ÇØ ¹ÂÅؽº(Mutex)¸¦ ƯÁ¤°ªÀ¸·Î »ý¼ºÇÑ´Ù. ÀÌ ¹®ÀÚ¿Àº °ø°Ý¿¡ µû¶ó Á¶±Ý¾¿ »óÀÌÇÑ ÇüŸ¦ ¶ì°í ÀÖ´Ù. ¶Ç, À§ÇùÀÇ Áö¼Ó¼ºÀ» À¯ÁöÇϱâ À§ÇØ ¡®GetTimeInterval¡¯ ÇÔ¼ö¸¦ ÅëÇØ 10,000ÃÊ(¾à 2½Ã°£ 46ºÐ) »çÀÌ¿¡¼ ÀÓÀÇÀÇ °£°ÝÀ¸·Î ½Ã°£À» ¼³Á¤ÇØ DropBox Åë½ÅÀ» À¯ÁöÇÑ´Ù.
¡®m_ps.bin¡¯ ÆÄÀÏÀº DropBox ÀúÀå¼Ò¿¡¼ ¡®ad_ps.bin¡¯ ÆÄÀÏÀ» È£ÃâÇØ º¹È£È ÈÄ ½ÇÇàµÇ´Â °úÁ¤À» °ÅÄ£´Ù. ÇöÀç±îÁö È®ÀÎµÈ ¹Ù¿¡ ÀÇÇϸé, ÀÌ ÆÄÀÏÀº ´Ù¾çÇÑ ±â´ÉÀ» °¡Áø ¿©·¯°³ÀÇ ¸í·ÉÀÌ ¼±ÅÃÀûÀ¸·Î »ç¿ëµÆ´Ù.
º¸Åë ¸¶Áö¸·À¸·Î »ç¿ëµÇ´Â ¡®ad_ps.bin¡¯ ÆÄÀÏÀº 4°¡Áö À¯ÇüÀÌ °ø°Ý¸ñÀû¿¡ µû¶ó °¡º¯ÀûÀ¸·Î ¼±ÅõȴÙ. ÀÌ´Â ¡âÅ°·Î°Å(Keylogger) ¡âȸé ĸó(Screenshot Capture) ¡âÀ¥ ºê¶ó¿ìÀú Å©¸®µ§¼È ½ºÆ¿·¯(Browser Credential Stealer) ¡â°¡»ó ³×Æ®¿öÅ© ÄÄÇ»ÆÃ(Virtual Network Computing)À» ÅëÇÑ ¿ø°ÝÁ¦¾î µîÀÌ´Ù.
¸ÕÀú Å°·Î°Å¿ë PowerShell ¸í·ÉÀº »ç¿ëÀÚÀÇ Å°º¸µå ÀԷ°ú Ŭ¸³º¸µå ÀúÀå ³»¿ëÀ» ƯÁ¤ °æ·Î¿¡ ÅؽºÆ® ÆÄÀÏ·Î ÀúÀåµÈ´Ù. ±×¸®°í Áߺ¹ ½ÇÇà ¹æÁö¸¦ À§ÇØ ¹ÂÅؽº(Mutex) ¹®ÀÚ¿À» ƯÁ¤ °ªÀ¸·Î ¼³Á¤ÇÑ´Ù. ¡®BabyShark APT Ä·ÆäÀΡ¯¿¡¼ Áö¼Ó ½Äº°µÈ´Ù.
µÎ ¹ø° À¯ÇüÀº ÇÇÇØÀÚ È¸éÀ» PNG ÆÄÀϷΠĸÃÄÇØ ÀúÀåÇÏ°í, DropBox ¡®screenlog¡¯ °æ·Î¿¡ À¯ÃâÀ» ½ÃµµÇÏ´Â ¹æ½ÄÀÌ´Ù. ½ÇÁ¦ °ø°Ý¿¡¼ Æ÷ÂøµÈ ¹Ù´Â ¾øÁö¸¸, DropBox ÀúÀå¼Ò¿¡ º¸°ü ÁßÀÌ´Ù.
¼¼ ¹ø°·Î À¥ ºê¶ó¿ìÀúÀÇ Å©¸®µ§¼È Á¤º¸¸¦ ¼öÁýÇØ Å»ÃëÇÏ´Â ÄÉÀ̽º´Ù. ±¸±Û Å©·Ò, MS ¿§Áö, ³×À̹ö ¿þÀÏ ºê¶ó¿ìÀú¿¡ ÀúÀåµÈ ¡®User Data¡¯ °æ·Î¸¦ È®ÀÎÇÑ´Ù. ±×¸®°í ¡®Cookies¡¯, ¡®History¡¯, ¡®LoginData¡¯ °ªÀ» ¼öÁýÇØ DropBox °æ·Î·Î À¯ÃâÀ» ½ÃµµÇÑ´Ù.
À©µµ¿ì¿ë Å©·Ò¿¡¼´Â DPAPI(Data Protection API)ÀÎ CryptProtectData¸¦ »ç¿ëÇØ ¡®Cookies¡¯, ¡®History¡¯, ¡®LoginData¡¯ ³»¿ëÀ» ¾ÏÈ£ÈÇØ º¸°üÇÑ´Ù. À̸¦ º¹È£ÈÇϱâ À§ÇØ ¾ÏÈ£È Å°°¡ ÀúÀåµÈ ·ÎÄà ÆÄÀÏ¿¡¼ Å°°ªÀ» È°¿ëÇÏ°í, ¸¶½ºÅÍ Å° °ªÀ» ±¸ÇÑ´Ù. ±×¸®°í ÇØ´ç Á¤º¸¸¦ ÇÔ¼ö¸¦ »ç¿ëÇØ ¾ÐÃàÇÏ°í, ToBase64String º¯È¯ ÈÄ ConvertTo-JsonÀ» ÅëÇØ ÀúÀåµÇ´Â ¿©·¯ °úÁ¤ µîÀ» °ÅÄ£ ÈÄ °ø°ÝÀÚÀÇ DropBox ÀúÀå¼Ò·Î ¾÷·Îµå ÇÑ´Ù.
¸¶Áö¸· ³×¹ø°´Â À§Çù ÇàÀ§ÀÚ°¡ ÁöÁ¤ÇÑ ±¸±Û µå¶óÀ̺긦 ÅëÇØ ¡®UltraVNC¡¯ ¿ø°ÝÁ¦¾î ¸ðµâÀ» ¼³Ä¡ÇÑ ÄÉÀ̽º´Ù. ±¸±Û µå¶óÀ̺ê ÁÖ¼Ò¿¡¼ ¡®aaa.bin¡¯ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°í, AESDecrypt ÇÔ¼ö·Î º¹È£ÈÇØ ½ÇÇàÇÑ´Ù. ±×¸®°í ¶Ç ´Ù¸¥ ±¸±Û µå¶óÀ̺ê ÁÖ¼Ò¿¡¼ ¡®UltraVNC¡¯ ÆÄÀÏÀÌ Æ÷ÇÔµÈ ¾ÐÃà ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù.
ƯÈ÷, »ó±â ¸í·É ÇÏ´Ü ºÎºÐ¿¡ ´ÙÀ½°ú °°Àº ÇÑ±Û ÁÖ¼®Ã³¸®°¡ Æ÷ÇԵŠÀִµ¥, ¿µ¾î ¡®File¡¯ ´Ü¾îÀÇ ºÏÇÑ½Ä ÇÑ±Û Ç¥Çö Áß ÇϳªÀÎ ¡®ÈÀÏ¡¯ ¹®ÀÚ°¡ °üÂûµÈ´Ù.
°ø°ÝÀÚ´Â »çÀü¿¡ ´Ù¾çÇÑ PowerShell ¸í·É¾î¿Í ¿ø°ÝÁ¦¾î ¸ðµâÀ» µå·Ó¹Ú½º¿Í ±¸±Û µå¶óÀÌºê µî¿¡ Ä¡¹ÐÇÏ°Ô ÁغñÇß´Ù. ÀÎÅͳݿ¡ °ø°³µÈ ¿ÀǼҽº ±â¹ÝÀÇ RAT ÇÁ·Î±×·¥À» Ä¿½ºÅÒÇØ »ç¿ëÇϴ Ư¼ºÀ» º¸ÀδÙ.
TutorialRAT ¼Ò°³
¡®TutorialRAT¡¯Àº ¡®C-Sharp-R.A.T¡¯ À̸§À¸·Î ±êÇãºê¿¡ ¼Ò½ºÄڵ尡 °ø°³µÈ C# ±â¹Ý ¿ø°ÝÁ¦¾î ÇÁ·Î±×·¥ÀÌ´Ù. °³¹ß °úÁ¤À» Æ©Å丮¾ó µ¿¿µ»óÀ¸·Î ¼Ò°³ÇÑ ¹Ù ÀÖ´Ù. ÀÌ ¶§¹®¿¡ ¾Ç¼º ÆÄÀÏÀº ¡®TutRAT¡¯ ¶Ç´Â ¡®TutClient¡¯ µîÀ¸·Î Ç¥ÇöµÇ°í ÀÖ´Ù.
APT43 Ä·ÆäÀο¡¼ »ç¿ëµÈ ¡®TutRAT¡¯ º¯Á¾ Áß¿¡´Â Çϱâ¿Í °°ÀÌ ÇÑ±Û °æ·Î¿¡¼ ºôµåµÈ ÀÌ·ÂÀÌ Á¸ÀçÇÑ´Ù. ÁÖ·Î 2023³â Ãʱ⿡ °³¹ßµÈ ÇüÅ¿¡¼ ¹ß°ßµÇ°í, ´Ù¾çÇÑ º¯Á¾ÀÌ º¸°íµÈ ¹Ù ÀÖ´Ù.
ÇØ´ç ¡®TutRAT¡¯ ÆÄÀÏÀÇ PDB ºôµå °æ·Î´Â ´ÙÀ½°ú °°°í, ¡®work¡¯ Æú´õ ÇÏÀ§¿¡ ¡®ºñ·ç½º°ü·Ã¡¯, ¡®ÀÚ·áÁ¶»ç¡¯ µîÀÇ Ç¥ÇöÀÌ Á¸ÀçÇÑ´Ù.
ÀÌ´Â ¡®TutClient¡¯ ¿ÀǼҽº¸¦ APT °ø°Ý¿ëÀ¸·Î ÀÚ·á Á¶»çÇØ ÁغñÇÑ Á¤È²À¸·Î Çؼ®µÇ¸ç, ¡®ºñ·ç½º¡¯ Àǹ̴ ¿µ¾î ¡®Virus¡¯ ´Ü¾î¸¦ ºÏÇÑ¿¡¼ ¾²´Â ÇÑ±Û Ç¥ÇöÀÌ´Ù. ¹Ý¸é ´Ù¸¥ À¯»ç º¯Á¾µéÀº ÁÖ·Î ´ÙÀ½°ú °°Àº °æ·Î°¡ ¾²¿´´Âµ¥, ¡®virus¡¯ ¿µ´Ü¾î·Î °æ·Î¸íÀÌ º¯°æµÆ´Ù.
GSC´Â À̹ø À§Çù Ä·ÆäÀÎÀ» Á¶»çÇÏ´Â °úÁ¤ Áß µ¿ÀÏ ¹èÈÄ°¡ Á¦ÀÛÇÑ °ÍÀ¸·Î ÃßÁ¤µÇ´Â C# ¾ð¾î±â¹Ý ¾Ç¼º ÆÄÀÏÀ» ºÐ¼®Çß´Ù. ÀÌ ÆÄÀÏÀº 2023³â 6¿ù 15ÀÏ¿¡ °³¹ßµÈ °ÍÀ¸·Î ¡®ConsoleApplication1.pdb¡¯ÀÌ´Ù. À̶§ °³¹ßµÈ °æ·Î´Â [D:\work\Virus] °æ·Î¿Í µ¿ÀÏÇÏ´Ù.
ÀÌ ¾Ç¼º ÆÄÀÏÀº °¡Â¥ ¸Þ½ÃÁö âÀ» º¸¿©ÁÖ¸ç, ´Ü¸» Á¤º¸¸¦ ¼öÁýÇØ À¯ÃâÇÏ´Â ÀüÇüÀû ÀÎÆ÷½ºÆ¿·¯ ±â´ÉÀ» ¼öÇàÇÑ´Ù. À̶§ ³ªÅ¸³ª´Â ¸Þ½ÃÁö â¿¡´Â [¿±â ¿ÀÀ¯], [¹®¼°¡ Æı« µÇ¿´½À´Ï´Ù.]¶ó´Â Ç¥ÇöÀÌ Á¸ÀçÇÑ´Ù.
¡®¿ÀÀ¯¡¯´Â ¡®¿À·ù¡¯ÀÇ ºÏÇѸ»À̸ç, ¡®µÇ¿´½À´Ï´Ù¡¯ Ç¥Çö ¿ª½Ã ¡®µÇ¾ú½À´Ï´Ù¡¯ÀÇ ´ëÇ¥Àû ºÏÇÑ½Ä ¾ð¾î Ç¥±â Áß Çϳª´Ù. °ø°ÝÀÚµµ ¾ð¾î ±¸»ç¿¡ ÁÖÀǸ¦ ±â¿ïÀÌ´Â ÆíÀ̶ó ¾ÕÀ¸·Î´Â AI È°¿ëÇÒ °¡´É¼ºµµ ÀÖ´Ù.
ÀÌó·³ °ø°ÝÀÚ´Â C# ÇÁ·Î±×·¡¹Ö ¾ð¾î¸¦ APT °ø°Ý¿¡ Àû±Ø È°¿ëÇÑ´Ù. ¶Ç, ¾Ç¼º ÇÁ·Î±×·¥ ÀüºÎ¸¦ ÀÚü °³¹ßÇϱ⠺¸´Ù ÀÎÅͳݿ¡ °ø°³µÈ ¿©·¯ ¿ÀǼҽº¸¦ ¼±ÅÃÇØ °ø°Ý¿¡ È°¿ëÇÑ Á¡µµ Ư¡ÀÌ´Ù. ¿ÀǼҽº¸¦ »ç¿ëÇØ °ø°Ý °ÅÁ¡À̳ª ±¹Àû, ½ÅºÐ µîÀ» Àº´ÐÇϴµ¥ È°¿ëÇÒ ¼ö ÀÖ´Ù.
Ãß°¡·Î º» ¾Ç¼º ÆÄÀÏÀÌ »ç¿ëÇÑ ½ºÅ©¸³Æ® Äڵ忡´Â [¡°http://¡± & ui & ¡°/list.php?query=1¡±:Do while .busy] ³»¿ëÀ» ´ã°í ÀÖÀ¸¸ç, ÀüÇüÀûÀÎ ¡®BabyShark¡¯ Ä·ÆäÀÎÀÇ ¡®RandomQuery¡¯ ¸í·ÉÀ» º¼ ¼ö ÀÖ´Ù.
°á·Ð ¹× ´ëÀÀ¹æ¹ý(Conclusion)
2024³â 1ºÐ±â±îÁö ¹Ù·Î°¡±â(LNK) À¯ÇüÀÇ APT °ø°ÝÀº °è¼Ó À̾îÁö°í ÀÖ´Ù. Çѱ¹À» °ø°Ý ´ë»óÀ¸·Î È°µ¿ÇÏ´Â ÁÖ¿ä À§Çù ÇàÀ§ÀÚµéÀº Ãʱâ ħÅõ ´Ü°è½Ã ´Ü¸»¿¡ ¼³Ä¡µÈ Anti-Virus ŽÁö ȸÇÇ È¿°ú¸¦ ±Ø´ëÈÇϱâ À§ÇØ ÀÌ ¹æ½ÄÀ» Àü·«ÀûÀ¸·Î »ç¿ë ÁßÀÌ´Ù.
ƯÈ÷, ÇÕ¹ýÀûÀ¸·Î ¼ºñ½º ÁßÀÎ ±Û·Î¹ú Ŭ¶ó¿ìµå ÀúÀå¼Ò¸¦ ÀÏÁ¾ÀÇ À§Çù°ÅÁ¡ ÀÎÇÁ¶ó·Î Áö¼Ó È°¿ë ÁßÀÌ´Ù. ±×·¯¹Ç·Î °³ÀÎ ÀÌ¿ëÀÚ¸¦ Æ÷ÇÔÇØ ±â¾÷ ¹× ±â°üÀÇ º¸¾È°ü¸®ÀÚ´Â ÁÖ¿ä Ŭ¶ó¿ìµå ÀúÀå¼ÒÀÇ Åë½Å À̷µµ ¼¼½ÉÈ÷ »ìÆ캼 ÇÊ¿ä°¡ ÀÖ´Ù.
ÁÖ·Î PowerShell ½ºÅ©¸³Æ®¿Í Ŭ¶ó¿ìµå ¼ºñ½º°¡ Á¦°øÇÏ´Â Á¤»ó API ±â´ÉÀ» È°¿ëÇØ Fileless ±â¹Ý °ø°ÝÀ» ¼öÇàÇϱ⠶§¹®ÀÌ´Ù. ƯÈ÷, ¾ÏÈ£ÈµÈ ÄÚµå¿Í Åë½ÅÀ¸·Î ÀÎÇØ ÀÌ»óÇàÀ§ ŽÁö¿Í ½Äº°ÀÌ ½±Áö ¾Ê´Ù.
ÇÑÆí ±¸±Ûµå¶óÀ̺ê, µå·Ó¹Ú½º, ¿øµå¶óÀÌºê µîÀº APT °ø°Ý¿¡ ¾Ç¿ëµÈ ¼ºñ½º °èÁ¤ Â÷´Ü°ú ÈļÓÁ¶Ä¡¸¦ À§Çؼ´Â ¸¹Àº º¸¾È Àü¹®°¡µéÀÇ Áö¿ø°ú Çù·ÂÀÌ Áß¿äÇÏ´Ù.
Áö´Ï¾ð½º´Â ¡°2024³â 1ºÐ±â ±¹³»¼ ¹ß»ýÇÑ ÁÖ¿ä APT °ø°ÝÀº ÆÄÀϸ®½º°¡ ÀϹÝȵƴ١±¸ç ¡°ÀÌ·¯ÇÑ °ø°ÝÀ» ŽÁöÇÏÁö ¸øÇÒ °æ¿ì, ³»ºÎ ħÇØ»ç°í·Î ¹ßÀüÇÒ ¼ö ÀÖ´Â ¸¸Å ±â¾÷ ¹× ±â°üÀÇ º¸¾È °ü¸®ÀÚ´Â À§Çù °¡½Ã¼º Á¦°ø »Ó¸¸ ¾Æ´Ï¶ó, ÆÄÀϸ®½º ŽÁö¿¡ Æ¯ÈµÈ EDR ¼Ö·ç¼ÇÀ» Àû±Ø È°¿ëÇØ¾ß ÇÑ´Ù¡±°í ´çºÎÇß´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>