¸ÞÀÏ ¹ß½ÅÀÚ¸¦ »ó¼¼ÇÏ°Ô È®ÀÎÇÏ°í, Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀº ¿¶÷ ÀÚÁ¦Çؾß
[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] ÃÖ±Ù ±ÝÀ¶ ¹× ºí·ÏüÀÎ ±â¾÷ Á¾»çÀÚµéÀ» ´ë»óÀ¸·Î À̸ÞÀÏÀ» ÅëÇÑ ¾Ç¼º LNK ÆÄÀÏÀÇ À¯Æ÷°¡ È®ÀεƴÙ. ¾Ç¼º ÆÄÀÏÀ» ÀüÆÄÇÏ´Â °úÁ¤¿¡¼ ±â¾÷ È«º¸ ÀÚ·á Á¦ÀÛ Á¤º¸¸¦ ÀÔ·ÂÇϵµ·Ï »ç¿ëÀÚ¸¦ À¯µµÇÏ´Â »ç·Ê°¡ ¹ß°ßµÆ´Ù. »ç¿ëÀÚ´Â ¹®¼°¡ Á¤»óÀûÀ¸·Î ¿¸° °ÍÀ¸·Î ¿ÀÀÎÇÏ°í, º¸¾È À§Çù¿¡ ³ëÃâµÉ °¡´É¼ºÀÌ ³ô¾ÆÁö°Ô µÈ´Ù.
¡ã¾Ç¼º ÆÄÀÏÀ» À¯Æ÷ÇÏ´Â °úÁ¤¿¡¼ ±â¾÷ È«º¸¹° Á¦ÀÛ ¹®¼·Î À§ÀåÇÑ´Ù[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é ¾Ç¼º LNK ÆÄÀÏÀº URLÀ» ÅëÇØ À¯Æ÷µÇ°í ÀÖ¾ú´Ù. ´Ù¿î·ÎµåµÇ´Â ÆÄÀÏÀº ¡®ºí·ÏüÀÎ ±â¾÷ ¼Ö·ç¼Ç Æí¶÷ Á¦ÀÛ.zip¡¯ ¸íÀÇ ¾ÐÃàÆÄÀÏ·Î, °ø°ÝÀÚ´Â ÇØ´ç URL¿¡ ¾Ç¼ºÆÄÀÏ°ú Á¤»óÆÄÀÏÀ» ¹ø°¥¾Æ ¿Ã·Á³õÀ¸¸ç ºÐ¼®¿¡ È¥µ¿À» Áá´Ù. ´Ù¿î·Îµå URLÀº ´ÙÀ½°ú °°´Ù.
-hxxps://file.lgclouds001[.]com/read/?ra=****.**@w*******ge.com&zw=ºí·ÏüÀÎ%20±â¾÷%20¼Ö·ç¼Ç%20Æí¶÷%20Á¦ÀÛ.zip
hxxps://file.ssdrive001[.]com/read/?ra=*****.***@w*******ge.com&zw=ºí·ÏüÀÎ%20±â¾÷%20¼Ö·ç¼Ç%20Æí¶÷%20Á¦ÀÛ.zip
¡ã(¿ÞÂʺÎÅÍ) ¾Ç¼º ÆÄÀÏ ´Ù¿î·Îµå, Á¤»ó ÆÄÀÏ ´Ù¿î·Îµå[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
´Ù¿î·Îµå µÈ ¾ÐÃàÆÄÀÏ ³»¿¡´Â DOCX ÆÄÀÏ ´ë½Å ¾Ç¼º LNK ÆÄÀÏÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ¾Ç¼º LNK ÆÄÀÏ°ú docx ¹®¼ÆÄÀÏÀÇ ±¸º°ÀÌ ¾î·Æ´Ù´Â ¹®Á¦°¡ ÀÖ´Ù. LNK ÆÄÀÏÀÇ Æ¯¼º»ó ÆÄÀÏ¸í µÚ¿¡ È®ÀåÀÚ°¡ ºÙÁö ¾ÊÀ¸¸ç, ¾ÆÀÌÄÜ¿¡ Æ÷ÇÔµÈ ¹Ù·Î°¡±â È»ìÇ¥ À̹ÌÁö¸¦ Á¦¿ÜÇϸé ÀÏ¹Ý DOCX ¹®¼ÆÄÀÏ°ú À¯»çÇÏ´Ù.
¡ã³µ¶È ÇØÁ¦µÈ PowerShell ½ºÅ©¸³Æ®[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀÀÌ ºÐ¼®ÇÑ LNK ÆÄÀÏÀº 300MB(¸Þ°¡¹ÙÀÌÆ®)°¡·®ÀÇ ºñÁ¤»óÀûÀ¸·Î Å« Å©±â¸¦ °¡Áö¸ç, ³»ºÎ¿¡ ³µ¶ÈµÈ PowerShell ¸í·É¾î°¡ Æ÷ÇԵǾî ÀÖ´Ù. ÇØ´ç PowerShell ½ºÅ©¸³Æ®´Â ÀÚ±â ÀÚ½Å(LNK)ÀÇ ³»ºÎ¿¡ Æ÷ÇÔµÈ binary¸¦ xor ¿¬»êÇØ ¾Æ·¡ ÆÄÀÏÀ» »ý¼ºÇÑ´Ù. ÀÌÈÄ Á¤»ó ¹®¼ÆÄÀÏ(1._ÀÛ¼º¾ç½Ä.docx)À» ½ÇÇàÇÏ°Ô µÈ´Ù.
-{Current path}\1._ÀÛ¼º¾ç½Ä.docx (Á¤»ó)
-%public%\qDLgNa.cab (¾Ç¼º)
¡ã´Ù¼öÀÇ ¾Ç¼º BAT ½ºÅ©¸³Æ®°¡ Æ÷ÇÔµÈ CAB ÆÄÀÏ(qDLgNa.cab)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
»ý¼ºµÈ ÆÄÀÏ Áß cab ÆÄÀÏ ³»ºÎ¿¡´Â Ãß°¡ ¾Ç¼º ½ºÅ©¸³Æ®(vbs, bat)°¡ Á¸ÀçÇϸç, ¡®%public%\documents\¡¯ Æú´õ¿¡ ¾ÐÃà ÇØÁ¦ ÈÄ ¡®start.vbs¡¯¸¦ ½ÇÇàÇÑ´Ù. ÀÌÈÄ ÈçÀûÀ» Áö¿ì±â À§ÇØ ÀÚ±â ÀÚ½Å(LNK)°ú .cab ÆÄÀÏÀ» »èÁ¦ÇÏ´Â ¹æ½ÄÀÌ´Ù. start.vbs ÆÄÀÏÀº ´Ü¼øÈ÷ 66022014.bat ¹èÄ¡ÆÄÀÏÀ» ½ÇÇàÇÏ´Â ¿ªÇÒÀ» ÇÑ´Ù.
¡ãBAT ½ºÅ©¸³Æ®°£ÀÇ °ü°è¸¦ ³ªÅ¸³½ µµ½Äµµ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÀÌÈÄ ¿©·¯ ±â´ÉÀÌ °¢°¢ÀÇ bat ÆÄÀÏ·Î ³ª´µ¾îÁ® ½ÇÇàµÈ´Ù. À§ ÀÚ·á´Â °¢ bat ÆÄÀÏÀÇ °ü°è¿¡ ´ëÇÑ °£·«ÇÑ µµ½ÄµµÀÌ´Ù.
¡ã66022014.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¡®66022014.bat¡¯ ÆÄÀÏÀº ´ÙÀ½°ú °°Àº ÇàÀ§¸¦ ¼öÇàÇÑ´Ù.
-ÀÚµ¿ ½ÇÇà µî·Ï : HKCU\Software\Microsoft\Windows\CurrentVersion\Run °æ·Î¿¡ ÀÚ½ÅÀ» µî·ÏÇÔÀ¸·Î½á Áö¼Ó¼º À¯Áö
-07915735.bat ½ÇÇà (Ãß°¡ ÆÄÀÏ ´Ù¿î·Îµå)
-73505966.bat ½ÇÇà (½Ã½ºÅÛ Á¤º¸ ¼öÁý)
-Ãß°¡ ÆÄÀÏ ´Ù¿î·Îµå :hxxp://accwebcloud[.]com/list.php?f=%COMPUTERNAME%.txt&r={Key} ÇöÀç C2 Á¢¼Ó ºÒ°¡
-¾ÐÃà ÇØÁ¦ ÈÄ temprun.bat ½ÇÇà
¡ã07915735.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
07915735.bat ÆÄÀÏÀº ´ÙÀ½°ú °°Àº ÇàÀ§¸¦ ¼öÇàÇÑ´Ù.
-Ãß°¡ ÆÄÀÏ ´Ù¿î·Îµå: hxxps://file.lgclouds001[.]com/read/get.php?ra={string}&r={key} ÇöÀç C2 Á¢¼Ó ºÒ°¡
-¾ÐÃà ÇØÁ¦ : ºñ¹Ð¹øÈ£ ¡®a¡¯
-³»ºÎ¿¡ Æ÷ÇÔµÈ 1.bat ÆÄÀÏ ½ÇÇà
¡ã73505966.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
73505966.bat ÆÄÀÏÀº ´ÙÀ½°ú °°Àº ÇàÀ§¸¦ ¼öÇàÇÑ´Ù.
-½Ã½ºÅÛ Á¤º¸ ¼öÁý
%username%\downloads °æ·Î¿¡ Á¸ÀçÇÏ´Â ÆÄÀÏ ¸ñ·Ï
%username%\documents °æ·Î¿¡ Á¸ÀçÇÏ´Â ÆÄÀÏ ¸ñ·Ï
%username%\desktop °æ·Î¿¡ Á¸ÀçÇÏ´Â ÆÄÀÏ ¸ñ·Ï
ÇöÀç ½ÇÇà ÁßÀÎ ÇÁ·Î¼¼½º ¸ñ·Ï
ÄÄÇ»ÅÍ Á¤º¸
-05210957.bat ÆÄÀÏÀ» ÅëÇØ C2·Î Àü¼Û : hxxp://accwebcloud[.]com/upload.php
¡ã73505966.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ƯÈ÷, Ãß°¡ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÒ ¶§ µ¿ÀÛÇÏ´Â ¡®88730413.bat¡¯Àº ³»ºÎ¿¡ PowerShell ½ºÅ©¸³Æ®°¡ Á¸ÀçÇÑ´Ù. Argument·Î ¹ÞÀº URL Áß ÀϺΠ¹®ÀÚ¿À» ÇöÀç ½Ã½ºÅÛ ½Ã°£ °ª(Key)À¸·Î ¾ÏÈ£ÈÇÏ°í Key °ªÀ» ¡®r=¡¯µÚ¿¡ ÀÌ¾î ºÙ¿© URL¿¡ Æ÷ÇÔÇÏ´Â ¹æ½ÄÀ¸·Î ¾ÏÈ£ÈÇØ Àü¼ÛÇϵµ·Ï ¼³°èµÇ¾î ÀÖ´Ù. ÀÌ´Â ¾Ç¼º URL ¿äûÀÌ °è¼ÓÇؼ ¹Ù²ï´Ù´Â Á¡À» º¸¾Æ ŽÁö¸¦ ¾î·Æ°Ô Çϱâ À§ÇÑ °ÍÀ¸·Î º¸ÀδÙ.
°ø°ÝÀÚ´Â ÃÖÁ¾ÀûÀ¸·Î temprun.bat ÆÄÀÏÀ» ½ÇÇàÇÏ·Á´Â °ÍÀ¸·Î º¸À̳ª ÇöÀç URL¿¡ Á¢¼ÓÀÌ ºÒ°¡´ÉÇØ ÀÌÈÄ ÇàÀ§´Â ÃßÀûÀÌ ¾î·Á¿ü´Ù´Â °Ô ¾È·¦ ASEC ºÐ¼®ÆÀÀÇ ¼³¸íÀÌ´Ù. URL ¿¬°áÀÌ °¡´ÉÇÒ °æ¿ì, °ø°ÝÀÚ°¡ ¿Ã¸®´Â ÆÄÀÏ¿¡ µû¶ó Qasar RAT, Amadey µî ´Ù¾çÇÑ ¾Ç¼º ÆÄÀÏÀÌ ´Ù¿î·Îµå µÉ ¼ö ÀÖ´Ù.
ÃÖ±Ù ±¹³» »ç¿ëÀÚ¸¦ ´ë»óÀ¸·Î ´Ù¾çÇÑ ÁÖÁ¦¸¦ ÀÌ¿ëÇÑ ¾Ç¼º LNK ÆÄÀÏÀÌ À¯Æ÷µÇ°í ÀÖ´Â ¸¸Å »ç¿ëÀÚµéÀÇ °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ¾È·¦ ASEC ºÐ¼®ÆÀÀº ¸ÞÀÏÀÇ ¹ß½ÅÀÚ¸¦ »ó¼¼ÇÏ°Ô È®ÀÎÇØ¾ß Çϸç Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀÇ °æ¿ì ¿¶÷À» ÀÚÁ¦ÇØ¾ß ÇÑ´Ù°í ´çºÎÇß´Ù. ¶ÇÇÑ, PC Á¡°ËÀ» ÁÖ±âÀûÀ¸·Î ÁøÇàÇÏ°í º¸¾È Á¦Ç°ÀÇ °æ¿ì ÃֽŠ¾÷µ¥ÀÌÆ®°¡ ÇÊ¿äÇÏ´Ù°í °Á¶Çß´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>