ÆÄÀÏ¸í ¹× ÆÄÀÏ ¾ÆÀÌÄÜ PDF ¾ÆÀÌÄÜ À̹ÌÁö·Î ±³¹¦È÷ À§Àå
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ´ëÇѹα¹À» ´ë»óÀ¸·Î ºÒƯÁ¤ ´Ù¼ö¿¡°Ô ÀúÀÛ±Ç Ä§ÇØ·Î À§ÀåÇÑ ´Ù¿î·Î´õ ¾Ç¼ºÄڵ尡 À¯Æ÷µÈ Á¤È²ÀÌ Æ÷ÂøµÆ´Ù. À̹ø¿¡ À¯Æ÷µÈ ¾Ç¼ºÄÚµå´Â »÷µå¹Ú½º ±â¹ÝÀÇ º¸¾È ¼Ö·ç¼Ç ŽÁö¸¦ ȸÇÇÇϱâ À§ÇØ °¡»ó ȯ°æÀ» ŽÁöÇÏ´Â Äڵ尡 Æ÷ÇԵŠÀÖ¾úÀ¸¸ç, ¸ÞÀκ¿(MainBot)À̶ó ºÒ¸®´Â ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇÏ´Â ´å³Ý ¾Ç¼ºÄڵ忴´Ù.
[À̹ÌÁö=gettyimagesbank]
¾È·¦ ASEC ºÐ¼®ÆÀ(ÀÌÇÏ ASEC)¿¡ µû¸£¸é, ¾È·¦ ASD(AhnLab Smart Defense) ÀÎÇÁ¶ó ¹× ¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)¿¡ ¼öÁýµÈ ÆÄÀÏ Á¤º¸¸¦ ºÐ¼®ÇßÀ» ¶§ ÇØ´ç ´Ù¿î·Î´õ ¾Ç¼ºÄÚµå´Â ¿ì¸®³ª¶ó¿Í ´ë¸¸¿¡ À¯Æ÷µÈ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. À¯Æ÷µÈ ÆÄÀϸíÀº ¡âÀúÀÛ±Ç Ä§ÇØ °ü·Ã ¿µ»ó À̹ÌÁö.exe ¡âÀÚ¼¼ÇÑ ¿µ»ó.exe ¡âºÒ¹ý º¹Á¦¿¡ °üÇÑ ÀÚ·á-OO ¿£ÅÍÅ×ÀθÕÆ®.exe ¡âàïÐàöÕÛó÷úÏíîÜãÊÞºÓñßÀ.exe(ÀúÀÛ±Ç Ä§ÇØ¿Í °ü·ÃµÈ µ¿¿µ»ó À̹ÌÁö) ¡âÁ¦Ç° ¿À·ù µ¿¿µ»ó, »çÁø.exe ¡âReaderPDFWindowFile.exe µîÀÌ´Ù.
¹ß°ßµÈ ¾Ç¼ºÄÚµå´Â ÀúÀÛ±Ç °ü·Ã ³»¿ëÀÇ ÆÄÀϸíÀ» Æ÷ÇÔ ¹× ÆÄÀÏÀÇ ¾ÆÀÌÄÜÀ» PDF·Î À§ÀåÇØ »ç¿ëÀÚ°¡ ÇØ´ç ¾Ç¼ºÄڵ带 PDF ¹®¼·Î Âø°¢ÇØ ³»·Á¹Þµµ·Ï Çß´Ù. C&C Åë½Å ¹æ½ÄÀ» º¸¸é, ÀÌ ¾Ç¼ºÄÚµå´Â °ø°ÝÀÚÀÇ ±¸±Û °øÀ¯ Docs ÆäÀÌÁö¿¡¼ ÅÚ·¹±×·¥ ÅäÅ«, ê ID, ¸ÞÀκ¿ ´Ù¿î·Îµå ÁÖ¼Ò µî ±âº»ÀûÀÎ Config Á¤º¸¸¦ Àü´Þ¹Þ´Â´Ù.
¡ãBASE64·Î ÀÎÄÚµùµÈ ±¸±Û DocsÀÇ °øÀ¯ ¹®¼ ÁÖ¼Ò[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¡®BASE64·Î ÀÎÄÚµùµÈ ±¸±Û DocsÀÇ °øÀ¯ ¹®¼ ÁÖ¼Ò¡¯¸¦ º¸¸é °ø°ÝÀÚÀÇ °øÀ¯ ¹®¼ ÆäÀÌÁö¸¦ ÆĽÌÇØ °ø°ÝÀÚ ÅÚ·¹±×·¥ ¼¹ö Á¤º¸¸¦ ȹµæÇÑ µÚ Àü´Þ¹ÞÀº ¸Þ½ÃÁö¸¦ Åä´ë·Î °¨¿° ´ë»ó PC¿¡ ¸ÞÀκ¿À» ¼³Ä¡, ½ÇÇà, ÆÄÀÏ¸í º¯°æ, Á¾·á ¸í·ÉÀ» Àü´ÞÇÒ ¼ö ÀÖ´Ù. ´Ù¸¸, ºÐ¼® ´ç½Ã ¸ÞÀκ¿Àº È®º¸ÇÏÁö ¸øÇß´Ù.
ÇØ´ç ¾Ç¼ºÄڵ忡´Â »÷µå¹Ú½º ±â¹ÝÀÇ ¾Ç¼ºÄÚµå ŽÁö ¼Ö·ç¼Ç ÀåºñÀÇ Å½Áö ȸÇǸ¦ À§ÇØ °¡»ó ȯ°æÀ» °Ë»çÇÏ´Â 6°³ Á¶°ÇÀÌ Á¸ÀçÇß´Ù. ÇØ´ç Á¶°ÇÀº ¡âµ¿ÀÛ È¯°æ¿¡ Anti-Virus°¡ 0°³ÀÎÁö È®ÀÎ ¡â¡®SELECT FROM WmiMonitorBasicDisplayParams¡¯ WMI Äõ¸®¸¦ ¼öÇàÇØ ÇØ´ç ÄÄÇ»ÅÍÀÇ ¸ðµç ¸ð´ÏÅÍ¿¡ ´ëÇÑ ±âº» µð½ºÇ÷¹ÀÌ ÆĶó¹ÌÅÍ Á¤º¸°¡ 0°³ÀÎÁö È®ÀÎ(¸ð´ÏÅÍÀÇ ¹°¸®Àû ¿¬°á ¿©ºÎ È®Àο뵵) ¡âWin32_Keyboard WMI Ŭ·¡½º¸¦ »ç¿ëÇØ USB Å°º¸µå Á¤º¸°¡ Á¸ÀçÇÏ´ÂÁö È®ÀÎ(Å°º¸µåÀÇ ¹°¸®ÀûÀÎ USB ¿¬°á ¿©ºÎ È®ÀÎ ¿ëµµ) ¡â·¥ÀÌ 4GBº¸´Ù ÀÛÀºÁö È®ÀÎ ¡âµð½ºÅ© ¿ë·®ÀÌ 128GBº¸´Ù ÀÛÀºÁö È®ÀÎ ¡âHKLM\SOFTWARE\WOW6432Node\Clients\StartMenuInternetÀÇ ÇÏÀ§ Å°°¡ ¾ø°Å³ª ¡®IEXPLORE.EXE¡¯ ȤÀº ¡®Microsoft Edge¡¯ 1°³¸¸ Á¸ÀçÇÏ´ÂÁö È®ÀÎ µîÀÌ´Ù.
¡ã5Ãʸ¶´Ù -SKIP VM ¸í·É °Ë»ç ÄÚµå[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÇØ´ç 6°³ÀÇ Á¶°Ç Áß 3°³ ÀÌ»óÀÌ ºÎÇÕÇÒ °æ¿ì °¡»ó ȯ°æÀ¸·Î ÀÎÁöÇÏ°í ¾Ç¼ºÄÚµå´Â °ø°ÝÀÚ ÅÚ·¹±×·¥ ¼¹ö¿¡ ¡®DETECT VM, SANBOX : ŽÁöµÈ Á¶°Ç °³¼ö-To continue please write the content: [HWID]-SKIP VM. We are still active until victime shuts down!¡¯°ú °°Àº ¹®ÀÚ¿À» Àü´ÞÇÏ°í È£½ºÆ®¿¡¼ Sleep ÇÔ¼ö¸¦ 5Ãʸ¶´Ù È£ÃâÇØ °ø°ÝÀÚ ¼¹ö·ÎºÎÅÍ ¼¹ö¿¡¼ [HWID]-SKIP VM ¸í·ÉÀ» Àü´Þ¹ÞÀ» ¶§±îÁö ¹«±âÇÑ ´ë±â¸¦ ¼öÇàÇÑ´Ù.
±× ÀÌÈÄ [HWID]-SKIP VM ¹®ÀÚ¿À» ÅÚ·¹±×·¥ ¼¹ö¸¦ ÅëÇØ Àü´Þ¹ÞÀ¸¸é ÇØ´ç PC¿¡ ¸ÞÀκ¿À» ´Ù¿î·ÎµåÇØ ¼³Ä¡ÇÑ´Ù. ¾È·¦ MDS´Â ÀÌ·¯ÇÑ À¯ÇüÀÇ ¾Ç¼ºÄڵ带 ¡®Execution/MDP.Event.M11291¡¯ Áø´Ü¸íÀ¸·Î »÷µå¹Ú½º ȯ°æ¿¡¼ ŽÁöÇÏ°í ÀÖ´Ù.
¡ã¾È·¦ MDS¸¦ ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå ŽÁö ȸé[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ASEC °ü°èÀÚ´Â ¡°ÃÖ±Ù °ø°ÝÀÚµéÀº º¸¾È Á¦Ç° ŽÁö ȸÇǸ¦ À§ÇØ Anti-VM ±â¹ýÀ» ¾Ç¼ºÄڵ忡 Ãß°¡ÇÏ´Â °Í»Ó¸¸ ¾Æ´Ï¶ó À̹ø À¯Çü°ú °°ÀÌ ÅÚ·¹±×·¥, ±¸±Û Docs µîÀÇ Á¤»óÀûÀÎ ¼¹ö¸¦ ÀÌ¿ëÇØ ¸í·É Á¦¾î¸¦ ¼öÇàÇÏ´Â »ç·Ê°¡ ¸¹¾ÆÁö°í ÀÖ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°Á¤»óÀûÀÎ ¼¹ö¿Í Åë½ÅÇÏ¸ç ¸í·É ÇàÀ§¸¦ ¼öÇàÇϱ⠶§¹®¿¡ ³×Æ®¿öÅ© ¼Ö·ç¼Ç¿¡¼µµ ŽÁö°¡ ¾î·Æ±â ¶§¹®¿¡ º¸¾È ´ã´çÀÚ´Â ³×Æ®¿öÅ© ¼Ö·ç¼Ç, APT ¼Ö·ç¼Ç ÀÌ¿Ü¿¡µµ EDR Á¦Ç°À» ÅëÇØ ¿£µåÆ÷ÀÎÆ®¿¡¼ ¹ß»ýÇÏ´Â ºñÁ¤»óÀûÀÎ ÇàÀ§¿¡ ´ëÇØ ¸ð´ÏÅ͸µÇØ ±â¾÷ÀÇ º¸¾È »ç°í¸¦ ¿¹¹æÇØ¾ß ÇÑ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>