[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ºÏÇÑ ÇØÄ¿Á¶Á÷ °¡¿îµ¥ 1°÷ÀÎ ·¹µå¾ÆÀÌÁî(RedEyes) °ø°Ý±×·ì(APT37, ScarCruft)ÀÌ Áö³ 1¿ù ÇÑ±Û EPS(Encapulated PostScript) Ãë¾àÁ¡(CVE-2017-8291)À» ¾Ç¿ëÇØ ¾Ç¼ºÄڵ带 À¯Æ÷ÇÏ´Â Á¤È²ÀÌ È®ÀεƴÙ.
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é, ·¹µå¾ÆÀÌÁî(RedEyes) ±×·ìÀº ±â¾÷ÀÌ ¾Æ´Ñ ƯÁ¤ °³ÀÎÀ» ´ë»óÀ¸·Î PC Á¤º¸»Ó¸¸ ¾Æ´Ï¶ó ÈÞ´ëÀüÈ µ¥ÀÌÅͱîÁö Å»ÃëÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. À̹ø ·¹µå¾ÆÀÌÁî ±×·ì °ø°Ý »ç·Ê´Â ÇÑ±Û EPS Ãë¾àÁ¡À» »ç¿ëÇß´Ù´Â Á¡°ú ½ºÅ×°¡³ë±×·¡ÇÇ ±â¹ýÀ» ÀÌ¿ëÇØ ¾Ç¼ºÄڵ带 À¯Æ÷Çß´Ù´Â Á¡ÀÌ ÁÖ¿ä Ư¡ÀÌ´Ù.
°ø°Ý¿¡ »ç¿ëµÈ ÇÑ±Û EPS Ãë¾àÁ¡Àº ÀÌ¹Ì ÃֽŠ¹öÀüÀÇ ÇÑ±Û ¿öµå ÇÁ·Î¼¼¼¿¡¼´Â ÆÐÄ¡µÈ ¿À·¡µÈ Ãë¾àÁ¡ÀÌ´Ù. °ø°ÝÀÚ´Â »çÀü¿¡ °ø°Ý ´ë»ó(°³ÀÎ)ÀÌ EPS¸¦ Áö¿øÇÏ´Â ¿À·¡µÈ ¹öÀüÀÇ ÇÑ±Û ¿öµå ÇÁ·Î¼¼¼¸¦ »ç¿ëÇÏ´Â °ÍÀ» ÆľÇÇÑ »óÅ¿¡¼ °ø°ÝÀ» ½ÃµµÇÑ °ÍÀ¸·Î º¸ÀδÙ. ·¹µå¾ÆÀÌÁî ±×·ìÀÌ ½ºÅ×°¡³ë±×·¡ÇÇ ±â¹ýÀ¸·Î ¾Ç¼ºÄڵ带 À¯Æ÷ÇÑ »ç·Ê´Â °ú°Å¿¡µµ È®ÀÎµÈ ¹Ù ÀÖ´Ù. Ä«½ºÆÛ½ºÅ°(Kaspersky)´Â 2019³â¿¡ ScarCruft(RedEyes) ±×·ìÀÌ »ç¿ëÇÑ ´Ù¿î·Î´õ ¾Ç¼ºÄڵ尡 ½ºÅ×°¡³ë±×·¡ÇÇ ±â¹ýÀ» ÀÌ¿ëÇØ Ãß°¡ ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇß´Ù´Â ³»¿ëÀ» °ø°³Çß´Ù.
¡ã°øÀ¯ ¸Þ¸ð¸® ¼½¼Ç À̸§ Á¤º¸[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡¼ ÃÖ±Ù ¹ß°ßµÈ ÇØ´ç °ø°ÝÀ» ·¹µå¾ÆÀÌÁî ±×·ìÀ¸·Î ºÐ·ùÇÑ ±Ù°Å´Â ¾Ç¼ºÄÚµå ´Ù¿î·Îµå¸¦ À§ÇØ ½ºÅ×°¡³ë±×·¡ÇÇ ±â¹ýÀ» »ç¿ëÇß´Ù´Â Á¡°ú C&C(¸í·ÉÁ¦¾î) ¼¹ö Åë½Å À¯Áö(Áö¼Ó¼º)¸¦ À§ÇÑ ÀÚµ¿ ½ÇÇà °ü·Ã ·¹Áö½ºÆ®¸® RUN Å° µî·Ï ¸í·É¾î°¡ °ú°Å¿¡ »ç¿ëÇÑ ÇüÅÂ¿Í À¯»çÇϱ⠶§¹®ÀÌ´Ù.
·¹µå¾ÆÀÌÁî ±×·ìÀº PC Á¤º¸¸¦ Å»ÃëÇÏ°í ¿ø°Ý Á¦¾î¸¦ ¼öÇàÇϱâ À§ÇØ ÆÄ¿ö½©°ú Chinotto ¾Ç¼ºÄڵ带 »ç¿ëÇÑ´Ù°í ¾Ë·ÁÁ³´Ù. ±×·¯³ª À̹ø °ø°Ý¿¡¼´Â Ä¡³ëÅä(Chinotto) ¾Ç¼ºÄÚµå¿Í´Â ´Ù¸£°Ô °øÀ¯ ¸Þ¸ð¸® ¼½¼ÇÀ» ÀÌ¿ëÇÑ C&C ¸í·ÉÀ» ¼öÇàÇÏ´Â ¾Ç¼ºÄڵ尡 »õ·Ó°Ô È®ÀεƴÙ. ¾È·¦ ASEC ºÐ¼®ÆÀÀº »õ·Ó°Ô È®ÀÎµÈ ¾Ç¼ºÄڵ忡 ´ëÇØ °øÀ¯ ¸Þ¸ð¸® ¼½¼Ç À̸§À» ÀοëÇØ M2RAT(Map2RAT)À̶ó ¸í¸íÇß´Ù.
ASEC ºÐ¼®ÆÀÀº ·¹µå¾ÆÀÌÁî ±×·ìÀÇ Ãʱâ ħÅõ(Initial Access), ¹æ¾î ȸÇÇ(Defense Evasion), Áö¼Ó¼º À¯Áö(Persistence), ±×¸®°í »õ·Ó°Ô È®ÀÎµÈ M2RAT ¾Ç¼ºÄÚµåÀÇ ÃֽŠ¸í·É ¹× Á¦¾î(Command Control)¿Í Á¤º¸ À¯Ãâ(Exfiltration) ±â¹ý¿¡ ´ëÇØ ÁýÁß ºÐ¼®Çß´Ù.
·¹µå¾ÆÀÌÁî ±×·ìÀÇ Ãʱâ ħÅõ¸¦ º¸¸é ¿ÃÇØ 1¿ù 13ÀÏ ¡®¾ç½Ä.hwp¡¯¶ó´Â À̸§À¸·Î ÇÑ±Û EPS Ãë¾àÁ¡(CVE-2017-8291) °ø°Ý Á¤È²ÀÌ È®ÀεƴÙ. ºÐ¼® ´ç½Ã HWP ¹®¼´Â ¼öÁýµÇÁö ¾Ê¾ÒÁö¸¸, Ãë¾àÁ¡À» À¯¹ßÇÏ´Â EPS ÆÄÀÏÀº È®º¸ÇÒ ¼ö ÀÖ¾ú´Ù´Â ¼³¸íÀÌ´Ù.
¡ã°ø°Ý ½Ã³ª¸®¿À È帧µµ ¹× ASD ÀÎÇÁ¶ó ·Î±×(À§ºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
EPS ÆÄÀÏÀº ÀÏÁ¾ÀÇ ±×·¡ÇÈ ÆÄÀÏ Çü½ÄÀ¸·Î½á ¾îµµºñ(Adobe)¿¡¼ ¸¸µç Æ÷½ºÆ®½ºÅ©¸³Æ®(PostScript) ÇÁ·Î±×·¡¹Ö ¾ð¾î¸¦ ÀÌ¿ëÇØ ±×·¡ÇÈ À̹ÌÁö¸¦ Ç¥ÇöÇÏ´Â ÆÄÀÏÀÌ´Ù. EPS¸¦ ÅëÇØ °íÈÁú º¤ÅÍ À̹ÌÁö¸¦ Ç¥ÇöÇÒ ¼ö ÀÖÀ¸¸ç, ÇÑ±Û ¿öµå ÇÁ·Î¼¼¼´Â EPS¸¦ ó¸®Çϱâ À§ÇØ ½áµå-ÆÄƼ ¸ðµâ(ghostscript)À» Áö¿øÇß´Ù. ±×·¯³ª EPS Ãë¾àÁ¡À» ÀÌ¿ëÇÑ APT °ø°Ý µî ¾Ç¿ë»ç·Ê°¡ Áõ°¡ÇÏ¸é¼ °³¹ß»çÀÎ Çѱ۰úÄÄÇ»ÅÍ¿¡¼´Â EPS ó¸® ½áµå-ÆÄƼ ¸ðµâÀ» Á¦°ÅÇß´Ù.
¡ãEPS Ãë¾àÁ¡ ÄÚµå(¡®¾ç½Ä.hwp¡¯) ¹× Stage 1. EPS Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ½©ÄÚµå ½ÇÇà ´Ü°è(À§ºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¡®¾ç½Ä.hwp¡¯ ÆÄÀÏ¿¡´Â Ãë¾àÇÑ EPS ÆÄÀÏ(CVE-2017-8291)ÀÌ Æ÷ÇÔµÆÀ¸¸ç, »ç¿ëÀÚ°¡ ÇØ´ç ¹®¼ ÆÄÀÏÀ» ¿¶÷ÇÒ ¶§ Ãë¾àÁ¡¿¡ ÀÇÇØ ½áµå-ÆÄƼ ¸ðµâ¿¡¼ °ø°ÝÀÚÀÇ ½©Äڵ尡 µ¿ÀÛÇÑ´Ù. ½©ÄÚµå´Â °ø°ÝÀÚ ¼¹ö(C&C)·ÎºÎÅÍ À̹ÌÁö(JPEG) ÆÄÀÏÀ» ³»·Á¹Þ°í, À̹ÌÁö ÆÄÀÏ ³»ºÎ¿¡ Á¸ÀçÇÏ´Â ÀÎÄÚµùµÈ PE ÆÄÀÏÀ» º¹È£ÈÇÑ´Ù. ±×¸®°í PE ÆÄÀÏÀ» %temp% °æ·Î¿¡ »ý¼ºÇÑ µÚ ½ÇÇàÇÏ´Â ±â´ÉÀ» ¼öÇàÇÑ´Ù.
¡®¹æ¾î ȸÇÇ(Defense Evasion)¡¯ ´Ü°è¿¡¼ ½©ÄÚµå´Â °ø°ÝÀÚ ¼¹ö·ÎºÎÅÍ À̹ÌÁö ÆÄÀÏÀ» ´Ù¿î·Îµå¹Þ¾Æ Ãß°¡ ¾Ç¼ºÄڵ带 ½ÇÇàÇß´Ù. Áï, °ø°ÝÀÚ´Â ¾Ç¼ºÄڵ带 À̹ÌÁö¿¡ Æ÷ÇÔÇÏ´Â ½ºÅ×°¡³ë±×·¡ÇÇ ±â¹ýÀ» »ç¿ëÇßÀ¸¸ç ÀÌ´Â ³×Æ®¿öÅ© ŽÁö ȸÇǸ¦ À§ÇØ »ç¿ëÇÑ ±â¹ýÀ¸·Î ÃßÁ¤µÈ´Ù. °ø°ÝÀÚ°¡ »ç¿ëÇÑ ½ºÅ×°¡³ë±×·¡ÇÇ À̹ÌÁö ÆÄÀÏÀº ¡®wallup.net¡¯À̶ó´Â ¹ÙÅÁȸé À̹ÌÁö Á¦°ø »çÀÌÆ®¿¡¼ È®º¸ÇÑ °ÍÀ¸·Î º¸ÀδÙ. À̹ÌÁö ÆÄÀÏÀº Á¤»ó JPEG Çì´õ¿Í PE ÆÄÀÏ µðÄÚµù¿¡ ÇÊ¿äÇÑ ¸ÞŸ µ¥ÀÌÅÍ(XOR Å°, ÆÄÀÏ »çÀÌÁî), ÀÎÄÚµùµÈ PE ÆÄÀÏ·Î ÀÌ·ïÁ³´Ù.
¡ã½ºÅ×°¡³ë±×·¡ÇÇ À̹ÌÁö ÆÄÀÏ ¹× ½ºÅ×°¡³ë±×·¡ÇÇ À̹ÌÁö ÆÄÀÏ ±¸¼º Á¤º¸(À§ºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¼¼ ¹ø°·Î ¡®Áö¼Ó¼º À¯Áö(Persistence)¡¯ ´Ü°è¿¡¼ ½ÇÇàµÈ lskdjfei.exe´Â °ø°ÝÀÚ ¼¹ö¿ÍÀÇ Áö¼Ó¼º À¯Áö¸¦ À§ÇØ ¡®RyPO¡¯ ¸í·É¾î¸¦ ·¹Áö½ºÆ®¸® Run Å°¿¡ ¡®HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\Run¡¯ °æ·Î·Î µî·ÏÇÑ´Ù. ·¹Áö½ºÆ®¸® Run Å°¿¡ µî·ÏµÇ´Â ¸í·É¾î´Â 2021³â Ä«½ºÆÛ½ºÅ°(Kaspersky)¿¡¼ °ø°³ÇÑ ScarCruft(RedEyes) ±×·ì º¸°í¼¿Í À¯»çÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
µî·ÏµÈ ·¹Áö½ºÆ®¸® Å°¿¡ ÀÇÇØ ½Ã½ºÅÛÀÌ ºÎÆÃÇÒ ¶§¸¶´Ù ÇÇÇØ È£½ºÆ® PC¿¡¼´Â ÆÄ¿ö½©°ú À©µµ Á¤»ó À¯Æ¿¸®Æ¼ÀÎ mshta°¡ ½ÇÇàµÈ´Ù. ºÐ¼® ´ç½Ã, mshta°¡ °ø°ÝÀÚ ¼¹ö¿¡¼ ³»·Á¹Þ´Â ¡®1.html¡¯ ÆÄÀÏÀº ³»ºÎ¿¡ JS(JavaScriprt) Äڵ带 Æ÷ÇÔÇÑ HTA(HTML Application) ÆÄÀÏÀÌ ¼öÁýµÆ´Ù. JS ÄÚµå´Â ÆÄ¿ö½© ¸í·ÉÀ» ½ÇÇàÇÏ¸ç °ø°ÝÀÚ ¼¹ö·ÎºÎÅÍ ¸í·ÉÀ» Àü´Þ¹Þ¾Æ ½ÇÇàÇÏ°í, °á°ú¸¦ Àü´ÞÇÏ´Â ±â´ÉÀ» ¼öÇàÇÑ´Ù.
ÆÄ¿ö½©ÀÌ °ø°ÝÀÚ ¼¹ö ÁÖ¼Ò¿¡ ¡®U¡¯ ÆĶó¹ÌÅ͸¦ Ãß°¡ÇØ ÄÄÇ»ÅÍ À̸§°ú À¯Àú À̸§À» Àü´ÞÇÏ¸é °ø°ÝÀÚ ¼¹ö´Â ½ÇÇàÇÒ CMD ¸í·ÉÀ» BASE64·Î ÀÎÄÚµùÇØ ÇÇÇØ È£½ºÆ®¿¡ Àü´ÞÇÑ´Ù. ÀÎÄÚµùµÈ BASE64 ¸í·É¾î´Â ÆÄ¿ö½©ÀÌ ´Ù½Ã µðÄÚµùÇØ ½ÇÇàÇÏ°í, ¸í·É ½ÇÇà °á°ú´Â %temp%\vnGhazwFiPgQ °æ·Î¿¡ ÆÄÀÏ·Î ÀúÀåÇÑ´Ù. ±×¸®°í °ø°ÝÀÚ ¼¹ö¿¡ ¡®R¡¯ ÆĶó¹ÌÅ͸¦ Ãß°¡ÇØ ¸í·É ½ÇÇà °á°ú¸¦ BASE64·Î ÀÎÄÚµùÇÑ »óÅ·ΠÀü´ÞÇÑ´Ù.
¡ãStage 2. º¹È£ÈÇÑ PE ÆÄÀÏ ½ÇÇà ´Ü°è(¹éµµ¾î ´Ù¿î·Îµå, Áö¼Ó¼º À¯Áö Ãß°¡) ¹× Áö¼Ó¼º À¯Áö °ü·Ã ÆÄ¿ö½© ÄÚµå[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
³× ¹ø°·Î, ¡®M2RAT(Map2RAT)¡¯ ´Ü°è¿¡¼ ÃÖÁ¾ ½ÇÇàµÇ´Â ¹éµµ¾î´Â explorer.exe¿¡ ÀÎÁ§¼ÇµÅ µ¿ÀÛÇÑ´Ù. ¹éµµ¾îÀÇ ÁÖ¿ä ±â´ÉÀº Å°·Î±ë, µ¥ÀÌÅÍ(¹®¼, À½¼º ÆÄÀÏ) À¯Ãâ, ÇÁ·Î¼¼½º ½ÇÇà ¹× Á¾·á, ȸé ĸó µî ±âº»ÀûÀÎ ¿ø°Ý Á¦¾î ¾Ç¼ºÄÚµåÀÇ ±â´ÉÀ» ¼öÇàÇÑ´Ù.
¡ãStage 3. M2RAT ¹éµµ¾î ½ÇÇà ´Ü°è[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÇÏÁö¸¸ À̹ø¿¡ È®ÀÎµÈ ¹éµµ¾î ¾Ç¼ºÄÚµå´Â ±âÁ¸¿¡ ¾Ë·ÁÁø Ä¡³ëÅä(Chinotto) ¾Ç¼ºÄÚµå¿Í ¸í·É ü°è°¡ ´Ù¸£¸ç ÇÇÇØ ½Ã½ºÅÛ¿¡ Å°·Î±ë µ¥ÀÌÅÍ, ȸé ĸó ±â·ÏÀ» ÀúÀåÇÏÁö ¾Ê°í °ø°ÝÀÚ ¼¹ö·Î Àü¼ÛÇØ ÇÇÇØ ½Ã½ºÅÛ¿¡ À¯Ãâ µ¥ÀÌÅÍ ÈçÀûÀ» ³²±âÁö ¾Ê´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù. ASEC ºÐ¼®ÆÀÀº À̹ø¿¡ »õ·Ó°Ô È®ÀÎµÈ ¾Ç¼ºÄڵ带 C&C Åë½Å¿¡ »ç¿ëµÈ °øÀ¯ ¸Þ¸ð¸® ¼½¼Ç(FileInputMap2, ProcessInputMap2, CaptureInputMap2, RawInputMap2, RegistryModuleInputMap2, TypingRecordInputMap2, UsbCheckingInputMap2) À̸§ÀÇ °øÅë ºÎºÐÀ» ÀοëÇØ M2RAT(Map2RAT)À̶ó ¸í¸íÇß´Ù.
M2RATÀÇ ¸í·É ¹× Á¦¾î(Command and Control) ¼¹ö¿¡¼ M2RATÀÇ C&C Åë½Å ¸í·Éü°è´Â °ø°ÝÀÚ ¼¹ö·ÎºÎÅÍ POST ¸Þ¼ÒµåÀÇ Body·Î ¸í·ÉÀ» Àü´Þ¹Þ´Â´Ù. ÇØ´ç ¸í·ÉÀÇ Àǹ̴ ¡âOKR(ÃÖÃÊ C&C Åë½Å Á¢¼Ó ½Ã¿¡ Àü´Þ¹Þ´Â ¸í·É) ¡âURL(C&C ¾÷µ¥ÀÌÆ®¸¦ À§ÇÑ ·¹Áö½ºÆ®¸® Å° °ª ¼öÁ¤) ¡âUPD(ÇöÀç Á¢¼Ó ÁßÀÎ C&C ¾÷µ¥ÀÌÆ®) ¡âRES(C&C ¿¬°á Á¾·á(M2RAT Á¾·á) ¡âUNI(C&C ¿¬°á Á¾·á(M2RAT Á¾·á)) ¡âCMD(Å°·Î±ë, ÇÁ·Î¼¼½º »ý¼º¡¤½ÇÇà µî ¿ø°Ý Á¦¾î ¸í·É ¼öÇà)ÀÌ´Ù.
¡ãM2RATÀÇ C&C Åë½Å ĸó ȸé(Fiddler)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
M2RATÀÇ °ø°ÝÀÚ ¼¹ö´Â ÇÇÇØ È£½ºÆ® ½Äº°À» À§ÇØ MAC ÁּҷΠȣ½ºÆ®¸¦ °ü¸®ÇÑ´Ù. M2RAT¿¡ °¨¿°µÉ °æ¿ì ·¹Áö½ºÆ®¸® ¡®HKCU\Software\OneDriver¡¯ °æ·ÎÀÇ ¡®Version¡¯ °ª¿¡ MAC ÁÖ¼Ò¸¦ 0x5C·Î ÀÎÄÚµù(XOR)ÇØ ÀúÀåÇÑ´Ù. ÀÎÄÚµùµÈ MAC ÁÖ¼Ò °ªÀº °ø°ÝÀÚ ¼¹ö¿¡¼ ÇÇÇØ È£½ºÆ®¸¦ ½Äº°Çϴµ¥ »ç¿ëµÈ´Ù. À̶§ ·¹Áö½ºÆ®¸® Å° °æ·Î´Â ¡®HKCU\Software\OneDriver¡¯, °ª À̸§Àº ¡®Version¡¯À̸ç, °ªÀº ¡®ÇÇÇØ È£½ºÆ®ÀÇ MAC ÁÖ¼Ò XOR ÀÎÄÚµù(0x5C)ÇÑ °ª¡¯ÀÌ´Ù.
°ø°ÝÀÚ°¡ ÇÇÇØ È£½ºÆ®¿¡ Àü´ÞÇÑ ¸í·É¿¡ ´ëÇÑ °á°ú °ªÀº °ø°ÝÀÚ ¼¹öÀÇ ¡®_ÀÎÄÚµùµÈ MAC ÁÖ¼Ò °ª_2¡¯ Æú´õ¿¡ ÀúÀåµÇ¸ç, M2RATÀÌ ÇÇÇØ È£½ºÆ®ÀÇ È¸éÀ» ĸóÇÑ ÆÄÀÏÀº ¡®_ÀÎÄÚµùµÈ MAC ÁÖ¼Ò °ª_cap¡¯ Æú´õ¿¡ ÀúÀåµÈ´Ù.
¡ã°ø°ÝÀÚ ¼¹öÀÇ ¿¹½Ã(¼¹ö ȸéÀº °ø°ÝÀÚ À¥ ¼¹ö¿Í À¯»çÇÏ°Ô ¾È·¦ÀÇ ºÐ¼® ½Ã½ºÅÛ¿¡¼ ±¸ÃàÇÑ È¸éÀÓ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÀÌ¿Ü¿¡µµ, M2RATÀº °ø°ÝÀÚ ¼¹ö ÁÖ¼Ò Á¤º¸¸¦ MAC ÁÖ¼Ò¿Í °°Àº ·¹Áö½ºÆ®¸® Å° °æ·ÎÀÇ ¡®Property¡¯ °ª¿¡ 0x5C·Î XOR ÀÎÄÚµùÇØ ÀúÀåÇÑ´Ù. À̶§ ·¹Áö½ºÆ®¸® Å° °æ·Î´Â ¡®HKCU\Software\OneDriver¡¯, °ª À̸§Àº ¡®Property¡¯À̸ç, °ªÀº ¡®°ø°ÝÀÚ ¼¹ö ÁÖ¼Ò XOR ÀÎÄÚµù(0x5C)ÇÑ °ª¡¯ÀÌ´Ù.
ÃßÈÄ °ø°ÝÀÚ´Â °ø°ÝÀÚ ¼¹ö ÁÖ¼Ò ¾÷µ¥ÀÌÆ®¸¦ À§ÇØ ¡®URL¡¯°ú ¡®UPD¡¯ ¸í·ÉÀ» M2RAT¿¡ Àü´ÞÇÒ ¼ö ÀÖ´Ù. ¡®URL¡¯ ¸í·ÉÀº »õ·Î¿î °ø°ÝÀÚ ÁÖ¼Ò¸¦ ·¹Áö½ºÆ®¸® Å°¿¡ ¾÷µ¥ÀÌÆ®Çϱâ À§ÇØ »ç¿ëµÇ´Â ¸í·ÉÀÌ°í, ¡®UPD¡¯ ¸í·ÉÀº ÇöÀç ½ÇÇà ÁßÀÎ M2RATÀÇ °ø°ÝÀÚ ¼¹ö ÁÖ¼Ò¸¦ ¹Ù²Ù±â À§ÇÑ ¸í·ÉÀÌ´Ù.
M2RATÀÇ ¿ø°Ý Á¦¾î ¸í·ÉÀº °ø°ÝÀÚ ¼¹ö·ÎºÎÅÍ CMD ¸í·ÉÀ» Àü´Þ¹Þ¾Æ ÀÌ·ïÁø´Ù. ±âÁ¸¿¡ ·¹µå¾ÆÀÌÁî ±×·ìÀÌ »ç¿ëÇÑ °ÍÀ¸·Î È®ÀÎµÈ Ä¡³ëÅä ¾Ç¼ºÄÚµåÀÇ °æ¿ì Äõ¸® ½ºÆ®¸µ(Query string) ¹æ½ÄÀ¸·Î ¿ø°Ý Á¦¾î ¸í·ÉÀ» ¼öÇàÇßÁö¸¸, M2RATÀÇ °æ¿ì °øÀ¯ ¸Þ¸ð¸® ¼½¼ÇÀ» »ý¼ºÇØ °ø°ÝÀÚ ¼¹ö·ÎºÎÅÍ ¿ø°Ý Á¦¾î ¸í·ÉÀ» ½ÇÇàÇÑ´Ù. ÀÌ´Â °ø°ÝÀÚ°¡ Ãʱâ ħÅõ ´Ü°è¿¡¼ ½ºÅ×°¡³ë±×·¡ÇÇ ±â¹ýÀ» »ç¿ëÇÑ °Í°ú °°ÀÌ ¸í·É Á¤º¸¸¦ POSTÀÇ º¸µð·Î Àº´ÐÇØ ³×Æ®¿öÅ© ŽÁö¸¦ ȸÇÇÇϱâ À§ÇÑ °ÍÀ¸·Î º¸ÀδÙ.
CMD ¸í·ÉÀº °øÀ¯ ¸Þ¸ð¸®¸¦ ÅëÇØ Àü´ÞµÇ¸ç, ¸Þ¸ð¸® ¼½¼ÇÀÇ À̸§ Á¤º¸´Â ¡âRegistryModuleInputMap2(Ãß°¡ ¸ðµâ ½ÇÇà °á°ú Àü¼Û(ex. ÈÞ´ëÀüÈ µ¥ÀÌÅÍ À¯Ãâ ¸ðµâ)) ¡âFileInputMap2((A:\ ~ Z:\) µå¶óÀ̺ê ÆÄÀÏ Å½»ö, ÆÄÀÏ »ý¼º¡¤¾²±â, ÆÄÀÏ Àбâ, ÆÄÀÏ ½Ã°£ º¯°æ) ¡âCaptureInputMap2(ÇöÀç ÇÇÇØ È£½ºÆ® PC ȸé ĸó) ¡âProcessInputMap2(ÇÁ·Î¼¼½º ¸®½ºÆ® È®ÀÎ, ÇÁ·Î¼¼½º »ý¼º¡¤Á¾·á) ¡âRawInputMap2(ShellExectueExW API¸¦ »ç¿ëÇØ ÇÁ·Î¼¼½º ½ÇÇà) ¡âTypingRecordInputMap2(Å°·Î±ë µ¥ÀÌÅÍ À¯Ãâ) ¡âUsbCheckingInputMap2(USB µ¥ÀÌÅÍ À¯Ãâ(hwp, doc, docx, xls, xlsx, ppt, pptx, cell, csv, show, hsdt, mp3, amr, 3gp, m4a, txt, png, jpg, jpeg, gif, pdf, eml)) µîÀÌ´Ù.
M2RATÀÇ Á¤º¸ À¯Ãâ ±â´ÉÀº ÇÇÇØ È£½ºÆ® ȸé ĸó, ÇÁ·Î¼¼½º Á¤º¸, Å°·Î±ë, µ¥ÀÌÅÍ(¹®¼, À½¼º ÆÄÀÏ) À¯ÃâÀÌ ÀÖ´Ù. ¸ÕÀú ȸé ĸóÀÇ °æ¿ì °ø°ÝÀÚ°¡ ¸í·ÉÀ» ³»¸®Áö ¾Ê´õ¶óµµ, ÁÖ±âÀûÀ¸·Î ĸÃÄÇØ °ø°ÝÀÚ ¼¹ö¿¡ Àü¼ÛÇϸç, ¼¹ö¿¡¼´Â ¡®_ÀÎÄÚµùµÈ MAC ÁÖ¼Ò °ª_cap¡¯ Æú´õ¿¡ ¡®result_[¼ýÀÚ]¡¯·Î ÀúÀåÇÑ´Ù. ÀÌ¿Ü¿¡ ¸ðµç µ¥ÀÌÅÍ À¯Ãâ Á¤º¸µéÀº °ø°ÝÀÚ À¥¼¹öÀÇ ¡®_ÀÎÄÚµùµÈ MAC ÁÖ¼Ò °ª_2¡¯ Æú´õ¿¡ ÀúÀåµÈ´Ù.
ƯÈ÷, À̵¿½Ä µð½ºÅ©³ª °øÀ¯ Æú´õ¿¡ ¹Î°¨ÇÑ µ¥ÀÌÅÍÀÎ ¹®¼¿Í À½¼º ³ìÀ½ ÆÄÀÏÀÌ ÀÖÀ» °æ¿ì %TEMP% °æ·Î¿¡ ÆÄÀÏÀ» º¹»çÇØ Winrar(RAR.exe)·Î ºñ¹Ð¹øÈ£¸¦ ¾ÐÃàÇÑ µÚ °á°ú¸¦ °ø°ÝÀÚ ¼¹ö¿¡ Àü¼ÛÇÑ´Ù. À̶§ µ¥ÀÌÅÍ º¹»ç Æú´õ °æ·Î´Â ¡®%Temp%\Y_%m_%d_%H_%M_%S // (ex. %TEMP%\¿¬_¿ù_ÀÏ _½Ã_ºÐ_ÃÊ)¡¯À̸ç, ÆÄÀÏ È®ÀåÀÚ´Â hwp, doc, docx, xls, xlsx, ppt, pptx, cell, csv, show, hsdt, mp3, amr, 3gp, m4a, txt, png, jpg, jpeg, gif, pdf, eml µîÀÌ´Ù. ¾ÐÃà ÆÄÀÏ »ý¼º °æ·Î´Â %TEMP% Æú´õ °æ·Î¿Í °°ÀÌ ¡®a -df -r -hp dgefiue389d@39r#1Ud –m1 ¡®¾ÐÃà ÆÄÀÏ »ý¼º °æ·Î¡¯ ¡®¾ÐÃà ´ë»ó °æ·Î¡¯¡¯´Ù.
»ç¿ëµÈ RAR.exe ¿É¼ÇÀº ¡âa(¾ÐÃà) ¡âdf(¾ÐÃà ÈÄ ÆÄÀÏ »èÁ¦) ¡âr(¾ÐÃà ÆÄÀÏ º¹±¸) ¡âhp(ÆÄÀÏ µ¥ÀÌÅÍ¿Í Çì´õ ¾ÏÈ£È) ¡âm(¾ÐÃà ·¹º§ ¼³Á¤) µîÀÌ´Ù.
¾È·¦ ASEC ºÐ¼®ÆÀÀº M2RAT°ú Åë½ÅÇÏ´Â Á¤º¸ À¯Ã⠾ǼºÄڵ带 Ãß°¡·Î È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù°í ¹àÇû´Ù. ÇØ´ç ¾Ç¼ºÄÚµå´Â ÈÞ´ëÀüÈ¿¡ ÀúÀåµÈ ¹®¼ ÆÄÀÏÀ» Å»ÃëÇØ M2RATÀÇ RegistryModuleResultMap2¶ó´Â À̸§ÀÇ °øÀ¯ ¸Þ¸ð¸® ¼½¼Ç¿¡ À¯Ãâ µ¥ÀÌÅ͸¦ Àü¼ÛÇÏ´Â ´å³Ý ÆÄÀÏ·Î È®ÀεƴÙ.
¡ãM2RAT¿¡ À¯Ãâ µ¥ÀÌÅÍ Àü¼ÛÇÏ´Â ÄÚµå ¹× ÈÞ´ëÀüÈ µ¥ÀÌÅÍ Å»Ãë ´ë»ó(È®ÀåÀÚ) Á¤º¸[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
·¹µå¾ÆÀÌÁî ÇØÄ¿Á¶Á÷Àº ºÏÇÑ Á¤ºÎÀÇ Áö¿øÀ» ¹Þ´Â °ÍÀ¸·Î ÃßÁ¤µÇ´Â APT Á¶Á÷ÀÌ´Ù. À뱂 ¿îµ¿°¡, ±âÀÚ, Å»ºÏ ÁֹΠµî °³ÀÎÀ» ´ë»óÀ¸·Î °ø°ÝÀ» ¼öÇàÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ³À¸¸ç, °ø°ÝÀÇ ¸ñÇ¥´Â Á¤º¸ À¯ÃâÀÎ °ÍÀ¸·Î º¸ÀδÙ. ÀÌ·¯ÇÑ APT °ø°ÝÀº ¹æ¾îÇÏ±â ¸Å¿ì ±î´Ù·Ó°í, ƯÈ÷ ·¹µå¾ÆÀÌÁî ±×·ìÀº °³ÀÎÀ» ´ë»óÀ¸·Î ÁÖ·Î °ø°ÝÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ¾î ±â¾÷ÀÌ ¾Æ´Ñ °³ÀÎÀº ÇÇÇظ¦ ÀÎÁöÇÏ´Â °ÍÁ¶Â÷ ¾î·Á¿ï ¼ö ÀÖ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>