¡®¿ÀÆÛ·¹ÀÌ¼Ç ±è¼öÅ°(Kimsuky)¡¯, ¡®¿ÀÆÛ·¹ÀÌ¼Ç ¾Æ¶óºñ¾È³ªÀÌÆ®(Arabian Night)¡¯ µî°ú °ü·Ã
ÀÏ¸í ¡®±Ý¼º121(Geumseong121)¡¯ À§Çù±×·ì°ú Á÷°£Á¢ÀûÀ¸·Î ¿¬°èµÈ Á¶Á÷ ÀǽÉ
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ƯÁ¤ ±¹°¡Áö¿øÀ» ¹Þ´Â °ÍÀ¸·Î ¿¹»óµÇ´Â °ø°ÝÀÚ(State-sponsored Actor)°¡ MS Office ¹®¼ ÆÄÀÏ Ãë¾àÁ¡(CVE-2017-11882)À» È°¿ëÇØ Çѱ¹ÀÎÀ» ´ë»óÀ¸·Î ½ºÇǾîÇǽÌ(Spear Phishing) °ø°ÝÀ» ½ÃµµÇÑ Á¤È²ÀÌ ¹ß°ßµÆ´Ù°í À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)°¡ ¹àÇû´Ù.
¡ã¿ÀÆÛ·¹ÀÌ¼Ç º£À̺ñ ÄÚÀÎ(Operation Baby Coin)[ÀÚ·á=ESRC]
ESRC´Â ÀÌ °ø°ÝÀÚ°¡ ¡®¿ÀÆÛ·¹ÀÌ¼Ç ±è¼öÅ°(Kimsuky)¡¯, ¡®¿ÀÆÛ·¹ÀÌ¼Ç ¾Æ¶óºñ¾È³ªÀÌÆ®(Arabian Night)¡¯ µîÀÇ Ä·ÆäÀΰú °ü°èµÈ ÀÏ¸í ¡®±Ý¼º121(Geumseong121)¡¯ À§Çù±×·ì°ú Á÷°£Á¢ÀûÀ¸·Î ¿¬°èµÈ Á¶Á÷À¸·Î ÆÇ´ÜÇß´Ù.
ÇØ´ç À§Çù±×·ìÀº ´ë·« 2010³âºÎÅÍ 2014³â ÀüÈÄ·Î ¿Õ¼ºÇÑ È°µ¿À» Çß´Ù. °ø°ÝÀÚ´Â ÁÖ·Î ÇØ¿Ü µîÁö¿¡¼ ¿Ü±³ ¹× ¾Èº¸±â±¸ ¼Ò¼ÓÀ¸·Î È°µ¿ÇÏ´Â ÇöÁöÀÇ °íÀ§±Þ ÀλçµéÀ» ÁÖ¿ä °ø°Ý´ë»óÀ¸·Î »ï¾Ò´Ù.
ESRC´Â ¸çÄ¥ Àü Çѱ¹¿¡¼ ½Äº°µÈ ±¹³» ´ë»óÀÇ À§Çù»ç·Ê¸¦ ºÐ¼®ÇÏ´ø Áß, °ú°Å ¼ö³â Àü ÇØ¿Ü¿¡¼ »ç¿ëµÈ °ø°ÝÄÚµå¿Í °·ÂÇÏ°Ô ¿¬°áµÇ´Â ÈçÀûµéÀ» ´Ù¼ö ¹ß°ßÇß´Ù. ÀÌ¿¡ µû¶ó °íÀ¯ÇÑ Ä§ÇØÁöÇ¥(IoC)¸¦ ±â¹ÝÀ¸·Î À̹ø °ø°ÝÀ» ÀÛÀü¸í ¡®º£À̺ñ ÄÚÀÎ(Operation Baby Coin)¡¯À¸·Î ¸í¸íÇÏ°í ÀÎÅÚ¸®Àü½º À§ÇùºÐ¼® ¹× ±×·ì°£ ¿¬°ü¼º Á¶»ç¸¦ ¼öÇàÇß´Ù.
Áß±¹¾î ÀÛ¼ºÀÚ¿Í Çѱ¹¾î ±â¹ÝÀÇ ±³¶õÀü¼ú ¹è°æ ÀÌÇØ(False Flag)
°ø°ÝÀÚ´Â Çѱ¹ÀÇ Æ¯Á¤ÀÎÀ» ´ë»óÀ¸·Î ¾Ç¼º DOC ¹®¼ÆÄÀÏÀÌ Ã·ºÎµÈ Çѱ¹ ¸ÂÃãÇü À̸ÞÀÏÀ» ¹ß¼ÛÇß´Ù. ÇØ´ç ÆÄÀÏÀº ¡®¼½Ä ÀÖ´Â ÅؽºÆ® Æ÷¸ËÀÎ RTF(Rich Text Format)¡¯ Çì´õ¸¦ °¡Áö°í ÀÖ°í, ¡®ÄÚÀÎÁ¤º¸.DOC¡¯ À̸§ÀÇ ÆÄÀϸíÀ» »ç¿ëÇß´Ù.
¹®¼ÆÄÀÏÀº 2018³â 04¿ù 15ÀÏ ¿ÀÈÄ 09½Ã 23ºÐ¿¡ ÀÛ¼ºµÇ¾ú°í, ¹®¼ ¼Ó¼º»ó ¸¸µç ÀÌ´Â ¡®Windows éÄ户¡¯·Î ÁöÁ¤µÇ¾î ÀÖ´Ù. ¶ÇÇÑ, ȸ»ç Á¤º¸¿¡´Â ¡®Sky123.Org¡¯¶ó´Â Áß±¹ÀÇ À¥ »çÀÌÆ® ÁÖ¼Ò°¡ Æ÷ÇԵǾî Àִ Ư¡ÀÌ Á¸ÀçÇÑ´Ù.
¡ã¹®¼ ÆÄÀÏÀÇ ¼Ó¼º Á¤º¸[ÀÚ·á=ESRC]
¾óÇÍ À°¾È»ó ¼Ó¼º Á¤º¸´Â Áß±¹¾î ±â¹ÝÀÇ ¹®¼´Ù. ÇÏÁö¸¸, ³»ºÎÀÇ µðÆúÆ® ANSI Äڵ带 ºÐ¼®ÇØ º¸¸é ¡®Çѱ¹¾î(Code Page 949)¡¯·Î ¼³Á¤µÇ¾î ÀÖ°í, ½ÇÁ¦ ¹®¼ ÀÛ¼º¿¡ »ç¿ëµÈ ¾ð¾î ¿ª½Ã ¡®Çѱ¹¾î(deflangfe1042)¡¯·Î ÁöÁ¤µÇ¾î ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
ÀÌó·³ °ø°Ý¿¡ »ç¿ëµÈ ¾Ç¼º ¹®¼ ÆÄÀÏÀº °ÑÀ¸·Î º¸±â¿¡ ¸¶Ä¡ Áß±¹ÀÎÀÌ Á¦ÀÛÇÑ °ÍÀ¸·Î ½±°Ô ÀǽÉÇØ º¼ ¼ö ÀÖÁö¸¸, ÄÚµå ¹× °üÁ¡¿¡ µû¸¥ ´Ù¾çÇÑ Áõ°Å¼öÁý°ú ¡®Attributio¡¯ µ¥ÀÌÅ͸¦ Á¾Çպм®ÇØ º¸´Ù °·ÂÇÏ°í °áÁ¤ÀûÀÎ ´Ü¼µéÀ» È®º¸ÇØ¾ß ÇÑ´Ù´Â °Ô ERSC ÃøÀÇ ¼³¸íÀÌ´Ù.
±¹°¡±â¹ÝÀÇ °íµµÈµÈ APT °ø°Ý ±×·ìµéÀº ÀǵµÀûÀ¸·Î ºÐ¼® ¹æÇØ ¹× ÃßÀû È¥¼±À» À§ÇØ Á¤±³ÇÏ°Ô ²Ù¸çÁø °ÅÁþ ´Ü¼¸¦ ÀÌ°÷Àú°÷ ³²°ÜµÐ´Ù´Â Á¡À» ¸í½ÉÇØ¾ß ÇÑ´Ù. ÀÌ·¯ÇÑ Á¶ÀÛ¼ö¹ýÀº ½ÇÁ¦ ÀüÀï¿¡¼ Àû±ºÀÇ ±ê¹ßÀ» ¼³Ä¡ÇØ ¸¶Ä¡ ¾Æ±ºÃ³·³ º¸À̵µ·Ï À§Àå, ±³¶õ½ÃÅ°´Â Àü¼úÀ» ÀǹÌÇÏ¸ç ±º»ç Àü¹®¿ë¾î·Î ¡®°ÅÁþ ±ê¹ß(False Flag)¡¯À̶ó Ç¥ÇöÇÑ´Ù.
¡ã¹®¼ÆÄÀÏ ³»ºÎ¿¡ ¼³Á¤µÈ ¾ð¾î¼³Á¤ ÄÚµåȸé[ÀÚ·á=ESRC]
CVE-2017-11882 Ãë¾àÁ¡Àº MS Office ÇÁ·Î±×·¥¿¡¼ OLE ¼ö½Ä ¿ÀºêÁ§Æ®¸¦ »ðÀÔÇÏ°í ÆíÁýÇÏ´Â ¡®EQNEDT32.EXE¡¯ ÆÄÀÏ¿¡ ÀÇÇØ ÀÛµ¿ÇÏ°Ô µÈ´Ù.
ESRC´Â 2017³â 11¿ù 20ÀÏ ¡®ÇØÄ¿µéÀÌ »ç¿ëÀÚ¿ÍÀÇ »óÈ£ÀÛ¿ë ¾øÀ̵µ ¾Ç¼ºÄڵ带 ¼³Ä¡Çϵµ·Ï Çã¿ëÇÏ´Â 17³â µÈ MS ¿ÀÇǽºÀÇ Ãë¾àÁ¡(CVE-2017-11882) ¹ß°ß¡¯ ³»¿ëÀ» °ø°³ÇÑ ¹Ù ÀÖ´Ù. »çÀü¿¡ ¹Ì¸® ¼³Ä¡ÇÑ °æ¿ì ½ÇÁ¦ ¡®¼ö½Ä ÆíÁý±â ÆÄÀÏ(EQNEDT32.EXE)¡¯Àº ¾Æ·¡ÀÇ °æ·Î¿¡ Á¸ÀçÇϸç, µ¶¸³ÀûÀ¸·Î ½ÇÇàÀÌ °¡´ÉÇÏ´Ù.
"C:\Program Files\Common Files\microsoft shared\EQUATION\EQNEDT32.EXE"
TTPs : Àü¼ú/µµ±¸(Tactics or Tools) + ±â¼ú(Techniques) + ÀýÂ÷(Procedures)
½ºÇǾî Çǽ̿¡ »ç¿ëµÈ ¹®¼ ÆÄÀÏÀ» »ó¼¼È÷ ºÐ¼®ÇØ º¸¸é, Æ÷¸Ë ³»ºÎ ¿ÀºêÁ§Æ® Äڵ忡 ¡®Equation.3¡¯ Ŭ·¡½º¸íÀÌ Æ÷ÇԵǾî ÀÖ°í, ÀÌ´Â MS Office ¿¡¼ »ç¿ëÇÏ´Â ¼ö½Ä ÄÄÆ÷³ÍÆ® ±â´ÉÀ̶ó´Â Á¡À» ¾Ë ¼ö ÀÖ´Ù.
ÇØ´ç º¸¾È Ãë¾àÁ¡ÀÌ ÀÛµ¿µÇ¸é, Çϵå ÄÚµùµÈ 1Â÷ ¸í·ÉÁ¦¾î(Stage1 C2) ¼¹ö·Î Á¢¼ÓÇÏ°í, ¡®2.dll¡¯ ¾Ç¼ºÆÄÀÏÀ» ºÒ·¯¿À°Ô µÈ´Ù.
¡ã¾Ç¼º ¹®¼ ÆÄÀÏ ³»ºÎ¿¡ Æ÷ÇÔµÈ ¿ÀºêÁ§Æ®¿Í C2 ÄÚµå[ÀÚ·á=ESRC]
1Â÷ ¸í·ÉÁ¦¾î ¼¹ö´Â ´Ù¾çÇÑ ¾Ç¼ºÆÄÀÏ°ú À§Çùµµ±¸°¡ ¿©·¯ ¹ø ¾÷·ÎµåµÈ ¹Ù ÀÖ°í, Ãʱ⠱³µÎº¸ È®º¸¸¦ À§ÇÑ Àü¼úÀû °ÅÁ¡À¸·Î È°¿ëÇß´Ù. 1Â÷ ¸í·ÉÁ¦¾î(Stage1 C2) ¼¹ö´Â Çѱ¹ÀÇ Æ¯Á¤ º¸¾È ¸ðµâ ¾ÆÀÌÄÜÀ¸·Î »çĪÇÑ º¯Á¾À» ¸ô·¡ ¼û°ÜµÎ±âµµ Çß´Ù.
ÀÌ ¸ðµâÀÇ °æ¿ì DLL ÆÄÀÏÀÌ ¾Æ´Ñ EXE ÇüÅ·ΠÁ¦ÀÛµÆÀ¸¸ç, ¼öÇà ±â´ÉÀº Àü¹ÝÀûÀ¸·Î ±âÁ¸ DLL ÆÄÀÏ°ú °ÅÀÇ Èí»çÇÏÁö¸¸, ³»ºÎ ´ÙÀ̾ó·Î±× ¸®¼Ò½º¿¡ ´ÙÀ½°ú °°Àº ¼Ó¼º Á¤º¸°¡ Æ÷ÇԵǾî Àִ Ư¡ÀÌ ÀÖ´Ù. ½ÇÁ¦ °ø°Ý¿¡ »ç¿ëµÈ 1Â÷ ´Ù¿î·Î´õ(Downloader) ±â´ÉÀÇ ¸ðµâÀº ½Ã°£Â÷¿¡ µû¶ó º¯Á¾À» À¯Æ÷ÇÏ´Â °ø°Ý °ÅÁ¡À¸·Î È°¿ëµÆ´Ù.
¡ãÃë¾àÁ¡ ÀÛµ¿½Ã ´Ù¿î·Îµå µÇ´Â 1Â÷ ´Ù¿î·Îµå ¾Ç¼ºÆÄÀÏ ¼¹ö ȸé[ÀÚ·á=ESRC]
À§Çù±×·ìÀº 2018³â 4¿ù 19ÀÏ ¡®2.dll¡¯ º¯Á¾À» Á¦ÀÛÇØ ±âÁ¸ ÆÄÀÏÀ» »õ·Î¿î º¯Á¾À¸·Î ±³Ã¼Çß´Ù. ÇØ´ç ¾Ç¼ºÆÄÀÏÀÌ Á¦ÀÛµÈ ºôµåŸÀÓÀ» È®ÀÎÇØ º¸¸é, Çѱ¹½Ã°£(KST) ±âÁØÀ¸·Î »õº® 01½Ã 05ºÐÀ̶ó´Â Á¡ÀÌ ¸Å¿ì ƯÀÌÇÏ´Ù.
´ç½Ã ½Ã°è¿ ¸ð´ÏÅ͸µ ±âÁØÀ¸·Î ºÃÀ» ¶§ ÀÌ ½Ã°£´ë´Â Ä¡¹ÐÇÑ Á¶ÀÛº¸´Ù ½ÇÁ¦ »õº®¿¡ Á¦ÀÛµÆÀ» Çö½Ç °¡´É¼º¿¡ ¹«°Ô°¡ ½Ç¸®°í ÀÖ´Ù. ¸¸¾à ÀýÂ÷¿¡ µû¶ó °ø°ÝÀÌ ¼øÁ¶·Ó°Ô ÁøÇàµÇ¸é, 1Â÷ ´Ù¿î·Î´õ´Â ¡®C:\Users\[°èÁ¤]\AppData\Roaming¡¯ °æ·Î¿¡ ¡®winword.tmp¡¯ ÆÄÀÏÀÌ »ý¼ºµÇ°í ½ÇÇàµÈ´Ù.
±× ´ÙÀ½À¸·Î URL ÁÖ¼Ò°¡ ´Ù¸¥ 2Â÷ ¸í·ÉÁ¦¾î(Stage2 C2) ¼¹ö·Î Á¢¼ÓÇØ ¾ÏÈ£ÈµÈ ¡®update.ca¡¯ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°í, µ¿ÀÏ °æ·Î¿¡ ¡®update.tmp¡¯ ÆÄÀϸíÀ¸·Î º¹È£ÈÇÑ ÈÄ ½ÇÇàÇÏ°Ô µÈ´Ù.
ÀÌó·³ °ø°ÝÀº º¹¼öÀÇ ¸í·ÉÁ¦¾î ¼¹ö¸¦ È°¿ëÇÏ°í, 2´Ü°è °úÁ¤À» °ÅÃÄ ÁøÇàÀÌ µÈ´Ù.
º¹È£ÈµÇ¾î ½ÇÇàµÇ´Â ¡®update.tmp¡® ÆÄÀÏÀº °¨¿°µÈ ½Ã½ºÅÛ¿¡¼ ´Ù¾çÇÑ À¥ ºê¶ó¿ìÀú, À̸ÞÀÏ °èÁ¤ µîÀÇ °³ÀÎÁ¤º¸¸¦ ¼öÁýÇÏ°Ô µÈ´Ù. ÀÌ¾î¼ µ¿ÀÏÇÑ 2Â÷ ¸í·ÉÁ¦¾î(Stage2 C2) ¼¹ö´Â À©µµ¿ìÁî ½Ã½ºÅÛ ÇÁ·Î¼¼¼¿¡ µû¶ó °¢°¢ 32ºñÆ®¿Í 64ºñÆ®¿ëÀ¸·Î ¾ÏÈ£ÈµÈ ¾Ç¼ºÆÄÀÏÀ» ¼±ÅÃÀûÀ¸·Î ´Ù¿î·ÎµåÇÏ°í º¹È£È½ÃÄÑ ½ÇÇàÀ» Áö¼ÓÇÑ´Ù.
Á¾ÇÕÀûÀ¸·Î ¼³Ä¡µÇ´Â ÆÄÀϸíÀ» Á¤¸®ÇØ º¸¸é ´ÙÀ½°ú °°°í, ½ÃÀÛÇÁ·Î±×·¥¿¡ ¡®Acrobat Accelerator.lnk¡¯, ¡®Anti Virus Option.lnk¡¯, ¡®IPSec Service Launch.lnk¡¯, ¡®Acrobat Speed Update.lnk¡¯, ¡®Network Acrobat Update.lnk¡¯, ¡®Adobe Acrobat Speeding Launch.lnk¡¯ µîÀÇ ¹Ù·Î°¡±â ÆÄÀÏÀ» ¸¸µé¾î ÃßÈÄ ¼÷ÁÖ°¡ ½ÇÇàµÇµµ·Ï ¸¸µé±âµµ ÇÑ´Ù.
ÃÖÁ¾ÀûÀ¸·Î ÀÛµ¿µÇ´Â DLL ¸ðµâÀº Çѱ¹¾î·Î ÀÛ¼ºµÈ ¡®ENC¡® ¸®¼Ò½º ¿µ¿ª¿¡ ƯÁ¤ ½Ã±×´Ïó·Î ÀÎÄÚµùµÈ µ¥ÀÌÅ͸¦ µðÄÚµùÇØ »ç¿ëÇϸç, Å°·Î±ë ¹× ´Ù¾çÇÑ ÆÄÀÏ È®ÀåÀÚÀÇ Á¤º¸µéÀ» ¼öÁýÇØ Å»ÃëÇÏ´Â ±â´ÉÀ» ¼öÇàÇÑ´Ù. ƯÈ÷, ¼öÁý´ë»ó ÆÄÀÏ È®Àå¸í Áß¿¡´Â Çѱ¹¿¡¼ ÁÖ·Î ÀÌ¿ëÇÏ´Â ¹®¼ÆÄÀÏ°ú ¾ÐÃàÆÄÀÏ Çü½ÄÀÌ Æ÷ÇԵǾî ÀÖ´Ù.
"cmd.exe /c dir %s*.hwp %s*.pdf %s*.doc %s*.docx %s*.xls %s*.xlsx %s*.ppt %s*.pptx %s*.zip %s*.rar %s*.alz /s >> \"%s\""
ENC ¸®¼Ò½ºÀÇ 2006 ¿µ¿ª¿¡´Â ¾ÏÈ£ÈµÈ PE Äڵ尡 Æ÷ÇԵǾî ÀÖÀ¸¸ç, Çѱ¹¾î ±â¹ÝÀ¸·Î ÀÛ¼ºµÈ °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. ¶ÇÇÑ, ¹öÀü Á¤º¸¿¡´Â ¿øº» ÆÄÀϸíÀÌ ¡®sysninit – exe.dll¡¯ À̸§À¸·Î ÁöÁ¤µÈ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¡ã¸®¼Ò½º¿¡ Æ÷ÇÔµÈ Çѱ¹¾î ¾ð¾î¼³Á¤°ú ³»ºÎ ÆÄÀÏÀÇ ¼Ó¼º Á¤º¸[ÀÚ·á=ESRC]
¸®¼Ò½º¿¡ ¼û°ÜÁ® ÀÖ´Â ÄÚµå´Â µðÄÚµù °úÁ¤À» °ÅÄ£ ÈÄ ¡®rundll32.exe¡¯ ¸í·É°ú ¡®ChildStart¡¯ ÀÎÀÚ¸¦ ÅëÇØ ½ÇÇàµÈ´Ù.
¡®ChildStart¡¯ ÇÔ¼ö´Â ¡®SetWindowsHookExA¡¯ API¸¦ ÀÌ¿ëÇØ º¹»ç(Ctrl+V) ´ÜÃàÅ°°¡ ÀԷµǸé Ŭ¸³º¸µå¿¡ ÀúÀåµÈ ³»¿ëÀ» ¼öÁý½Ãµµ ÇÑ´Ù. ÀϺΠ¹°¸®Àû µå¶óÀ̺êÀÇ Á¤º¸¸¦ ¼öÁý ½ÃµµÇϱ⵵ Çϴµ¥, ¾î¶² È°¿ë ¸ñÀûÀ¸·Î Á¢±ÙÇÏ´ÂÁö °è¼Ó ¿¹ÀÇ Áֽà Áß¿¡ ÀÖ´Ù.
°ø°ÝÀÚ´Â ÀÌ¿Ü¿¡µµ ´Ù¾çÇÑ ÄÄÇ»ÅÍ Á¤º¸¸¦ ¼öÁýÇϸç, ÇØ´ç µ¥ÀÌÅ͵éÀº °ø°ÝÀÚÀÇ ¸í·ÉÁ¦¾î ¼¹ö·Î Àº¹ÐÇÏ°Ô À¯ÃâÀÌ ½ÃµµµÈ´Ù.
ÈÄ¼Ó °ø°Ý¿¡ »ç¿ëµÈ º¯Á¾ ¾Ç¼ºÄÚµå ¿¬¼Ó ºÐ¼®
À§Çù ±×·ìÀº Çѱ¹½Ã°£ ±âÁØÀ¸·Î 2018³â 4¿ù 19ÀÏ »õ·Ó°Ô ¸¸µç ¾Ç¼ºÆÄÀÏ·Î ±³Ã¼ÇØ Ãß°¡ ¸í·ÉÀ» ³»·È´Ù. Ãß°¡ º¯Á¾Àº 2018-04-19 01:05:25 (KST) ½Ã°£¿¡ Á¦ÀÛÇß´Ù. Ãß°¡ º¯Á¾Àº ±âÁ¸°ú µ¿ÀÏÇÑ 2Â÷ ¸í·ÉÁ¦¾î ¼¹ö¸¦ »ç¿ëÇÏ¿´Áö¸¸, ÆÄÀϸíÀ» ÀϺΠº¯°æÇØ À¯Æ÷¿¡ »ç¿ëÇß´Ù.
- store.sys -> store.tmp
- sys32.msi -> sys32.tmp
- sys64.msi -> sys64.tmp
°ø°ÝÀÚ´Â º¯Á¾À» Á¦ÀÛÇØ À¯Æ÷ÇÏ¸é¼ ÄÚµå ºÐ¼®°ú º¸¾È¼Ö·ç¼Ç ŽÁö¸¦ ȸÇÇÇϱâ À§ÇØ Äڵ带 ¡®VMProtect¡¯ ÇÁ·Î±×·¥À¸·Î ½ÇÇࡤ¾ÐÃàÇß´Ù. ±×·¯³ª ³»ºÎÀûÀ¸·Î »ç¿ëÇÏ´ø Export ÇÔ¼ö´Â ±âÁ¸°ú µ¿ÀÏÇÏ´Ù.
sysninit - exe.dll
- ChildStart
- PDFShow
- ShellExploit
Ãß°¡ °ø°Ý¿¡ »ç¿ëµÈ DLL ¾Ç¼ºÆÄÀÏÀÇ °æ¿ì ÀͽºÆ÷Æ® ÇÔ¼ö°¡ ¡®baby.dll¡¯À̶ó´Â Ư¡ÀÌ ÀÖ°í, ÀÌ À̸§Àº ÀÌÀü °ø°Ý¿¡¼ ½Äº°µÈ º¯Á¾ ÁßÀÇ ´ÙÀ̾ó·Î±× Å°¿öµåÀÎ ¡®baby¡¯ ÄÚµå¿Í ÀÏÄ¡ÇÑ´Ù.
¡ã¡®baby.dll¡¯ ÀͽºÆ÷Æ® ÇÔ¼ö Å×À̺í ȸé[ÀÚ·á=ESRC]
°ú°Å ÇØ¿Ü »ç·Êµé°ú ÄÚµå À¯»çµµ ¹× ¿¬°ü¼º ºÐ¼®
2010³â 10¿ù 9ÀÏ ¹Ì±¹¿¡¼ PDF Ãë¾àÁ¡(CVE-2010-2883)À» ÀÌ¿ëÇÑ ½ºÇǾî ÇÇ½Ì °ø°Ý»ç·Ê°¡ º¸°íµÈ ÀûÀÌ ÀÖ´Ù. ÇØ´ç °ø°ÝÀº ´ç½Ã ¡®¿Ü±³¾Èº¸¿¬±¸¼Ò(ifans.go.kr)¡¯¿¡¼ °ø½ÄÀûÀ¸·Î ¹ß¼ÛµÈ °Íó·³ À§ÀåµÇ¾î ÀÖ¾úÁö¸¸, ½ÇÁ¦ ¹ß½ÅÀÚ ¾ÆÀÌÇÇ ÁÖ¼Ò(221.9.247.17)´Â Áß±¹ Áö¸°¼ºÀÇ ÀåÃá½Ã¿´´Ù.
¡ãCVE-2010-2883 Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ½ºÇǾî ÇÇ½Ì »ç·Ê[ÀÚ·á=ESRC]
½ºÇǾîÇÇ½Ì °ø°Ý¿¡ »ç¿ëµÈ ¡®Conference Information_2010 IFANS Conference on Global Affairs (1001).pdf¡¯ ¹®¼ ÆÄÀÏÀº PDF Ãë¾àÁ¡À» ÅëÇØ Ãß°¡ ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÑ´Ù. »ý¼ºµÇ´Â ÆÄÀÏÀº 2010³â 10¿ù 9ÀÏ¿¡ Á¦ÀÛµÆÀ¸¸ç, ³»ºÎ ÀͽºÆ÷Æ® ÇÔ¼ö´Â ¡®syschk.dll¡¯ÀÌ´Ù. ±×¸®°í ¡®CheckDrive¡¯, ¡®SystemCheck¡¯ µîÀÇ ¸í·ÉÀ» »ç¿ëÇÑ´Ù. ¡®syschk.dll¡¯ ÆÄÀÏÀº ´Ù¾çÇÑ ½Ã½ºÅÛ Á¤º¸¸¦ ¼öÁýÇØ Æ¯Á¤ ±¸±Û¸ÞÀÏ(Gmail)·Î ¹ß¼ÛÀ» ½ÃµµÇϸç, ´ÙÀ½°ú °°Àº ¡®HttpAddRequestHeadersA¡¯ ÄÜÅÙÃ÷¸¦ »ç¿ëÇÑ´Ù.
Èï¹Ì·Ó°Ôµµ 2018³â 4¿ù °ø°Ý¿¡ »ç¿ëµÈ ÄÚµå¿Í 2010³â »ç¿ëµÈ Äڵ尡 Á¤È®È÷ ÀÏÄ¡ÇÏ°í ÀÖ´Ù.
"Content-Type: multipart/form-data; boundary=---------------------------7dab371b0124"
2013³â¿¡´Â ¡®Draft response letter Slovenia.pdf¡¯ À̸§ÀÇ PDF Ãë¾àÁ¡ ±â¹Ý ¾Ç¼º ¹®¼ÆÄÀÏÀÌ ÇØ¿Ü¿¡¼ º¸°íµÇ¾ú´Ù. ÀÌ ¹®¼ÆÄÀÏÀÇ Ãë¾àÁ¡¿¡ ÀÇÇØ »ý¼ºµÈ ÆÄÀÏÀº ¡®sysninit.ocx¡¯ À̸§À̸ç, 2013³â 04¿ù 06ÀÏ¿¡ Á¦À۵Ǿú´Ù.
2013³â¿¡ ¹ß°ßµÈ ¡®sysninit.ocx¡¯ ÆÄÀϸíÀÌ À̹ø ¡®¿ÀÆÛ·¹ÀÌ¼Ç º£À̺ñ ÄÚÀΡ¯¿¡¼ ½Äº°µÈ ¾Ç¼ºÆÄÀÏÀÇ ¿øº» ÆÄÀÏ¸í ¡®sysninit – exe.dll¡¯ À̸§°ú ¸Å¿ì À¯»çÇÏ´Ù´Â °Íµµ ¾Ë ¼ö ÀÖ´Ù. ´õºÒ¾î »ç¿ëµÈ ¸®¼Ò½º¿¡ Çѱ¹¾î°¡ »ç¿ëµÈ Á¡, ¾ÏÈ£ÈµÈ ¸ðµâÀÇ °íÀ¯ ½Ã±×´Ïó ÄÚµå(~!@#$%^&) µîÀÌ µ¿ÀÏÇÏ´Ù.
¡ãÇѱ¹¾î ¸®¼Ò½º¿Í ÀÎÄÚµù ½Ã±×´Ïó ÄÚµå ºñ±³[ÀÚ·á=ESRC]
¶ÇÇÑ, ¡®rundll32.exe¡® ¸í·ÉÀ» ÅëÇØ ¡®PDFShow¡® ÀÎÀÚ¸¦ »ç¿ëÇÏ´Â ¹æ½ÄÀº 2018³â Äڵ忡¼µµ µ¿ÀÏÇÏ°Ô ½Äº°Àº µÇ¾úÁö¸¸, Çѱ¹ ´ë»ó °ø°Ý¿¡¼´Â »ç¿ëÇÏÁö ¾ÊÀº °ÍÀ¸·Î º¸ÀδÙ.
ÀÌ¿Í °ü·ÃµÈ °ø°ÝÀº 2010³â ÀÌÈĺÎÅÍ 2013³â±îÁö PDF ¹®¼ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ°í, ±× ÀÌÈÄ¿¡´Â PDF ¹®¼³ª DOC ¹®¼·Î À§ÀåÇÑ EXE ÆÄÀÏÀÌ ´Ù¼ö º¸°íµÇ¾ú´Ù.
ÇØ´ç »ç·Ê¿¡¼´Â ´ÙÀ½°ú °°Àº PDB(Program Data Base) °æ·Î°¡ ¹ß°ßµÈ ¹Ù ÀÖ°í, ÀϺο¡¼´Â ÇÑ±Û½Ä Ç¥Çö(»õ Æú´õ)µµ ¹ß°ßµÇ¾ú´Ù. ÀÌ´Â °ø°ÝÀÚ°¡ ÇÑ±Û ±â¹Ý ¿î¿µÃ¼Á¦¿¡¼ ¾Ç¼º ÆÄÀÏÀ» °³¹ßÇß´Ù´Â ±Ù°Å°¡ µÉ ¼ö ÀÖ´Ù.
- L:\Attack Programs\Backdoor 2.0(x86-x64)\sysninit - exe\Release\sysninit - exe.pdb
- N:\Attack Programs\Backdoor 2.1(x86-x64)\»õ Æú´õ\vcbxcbcb\Release\vcbxcbcb.pdb
- N:\Attack Programs\Backdoor 2.1(x86-x64)\sysninit - exe\Release\sysninit - exe.pdb
´õºÒ¾î, 2014³â 09¿ù 22ÀÏ¿¡ Á¦ÀÛµÈ ¾Ç¼ ÆÄÀÏÀº À̹ø ¡®¿ÀÆÛ·¹ÀÌ¼Ç º£À̺ñ ÄÚÀΡ¯¿¡¼ ½Äº°µÈ µ¿ÀÏÇÑ Mutex ÄÚµå(__START_DLL_MARK__)¿Í ÀͽºÆ÷Æ® ÇÔ¼ö°¡ Á¸ÀçÇϱ⵵ ÇÑ´Ù.
¡ãµ¿ÀÏÇÑ ¹ÂÅؽº¿Í ÀͽºÆ÷Æ® ÇÔ¼ö¸í[ÀÚ·á=ESRC]
¼ö³â°£ È®º¸ÇÑ ÁÖ¿ä ħÇØ»ç°í ÀÎÅÚ¸®Àü½º µ¥ÀÌÅÍ ±â¹ÝÀ¸·Î ´Ù¾çÇÑ ÄÚµå ºÎºÐ¿¡¼ °ú°Å¿Í ÇöÀçÀÇ °ø°Ý Äڵ尡 ¿À¹ö·¦µÇ°í ÀÖ´Ù´Â °ÍÀ» ºñ±³ÇØ º¼ ¼ö ÀÖ°í, °ø°³µÇÁö ¾ÊÀº ºÎºÐµµ Á¸ÀçÇÑ´Ù. ¶ÇÇÑ, ÀϺΠÄڵ忡¼´Â Á¦ÀÛÀÚ·Î ÃßÁ¤µÇ´Â ÇѱÛÇ¥±â½ÄÀÇ À̸§°ú ¼¹ö À̴ϼÈÀÌ ¹ß°ßµÈ ¹Ù ÀÖ´Ù.
ÀÌó·³ ±¹°¡ Â÷¿øÀÇ Áö¿øÀ» ¹Þ´Â °ÍÀ¸·Î ÃßÁ¤µÇ´Â °ø°ÝÀÚ(State-Sponsored Actor)ÀÇ È°µ¿ÀÌ ÇöÀçµµ °è¼Ó ÁøÇàµÇ°í ÀÖ´Ù´Â Á¡°ú, »õº®½Ã°£¿¡µµ ¸Å¿ì È°¹ßÇÑ ¿òÁ÷ÀÓÀÌ ÀÖ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
ESRC¿¡¼´Â ±×µ¿¾È ³Î¸® ¾Ë·ÁÁ® ÀÖÁö ¾Ê¾ÒÁö¸¸, ±Ý¼º121(Geumseong121) ±×·ì°ú ±è¼öÅ°(Kimsuky) °è¿ÀÇ ¿ÀÆÛ·¹À̼ǿ¡¼ IoC°£ ¿À¹ö·¦µÈ ºÎºÐÀ» ´Ù¼ö ¹ß°ßÇß°í, µ¿ÀÏÇÑ ±×·ì¿¡¼ ´Ù¾çÇÑ ÀηÂÀÌ °³º° ÀÛÀüÀ» ¼öÇàÇÏ°í ÀÖ´Ù´Â Á¡À» ÃßÁ¤ÇØ º¼ ¼ö ÀÖ¾ú´Ù°í ¹àÇû´Ù.
ÇÑÆí, À̽ºÆ®½ÃÅ¥¸®Æ¼ ´ëÀÀ¼¾ÅÍ(ESRC)´Â ±¹°¡±â¹Ý À§Çù±×·ì¿¡ ´ëÇÑ Ã¼°èÀûÀÎ ÀÎÅÚ¸®Àü½º ¿¬±¸¿Í ÃßÀûÀ» ÅëÇØ, À¯»çÇÑ º¸¾ÈÀ§ÇùÀ¸·Î ÀÎÇÑ ÇÇÇØ°¡ ÃÖ¼Ò鵃 ¼ö ÀÖµµ·Ï °ü·Ã ¸ð´ÏÅ͸µÀ» °ÈÇÏ°í ÀÖ´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>