[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] Àü ¼¼°è¸¦ ¶ß°Ì°Ô ´Þ¾Æ¿À¸£°Ô ÇÏ°í ÀÖ´Â È«ÄáÀÇ ¹ÝÁ¤ºÎ ½ÃÀ§°¡ °Ýȵǰí ÀÖ´Â »óȲ¿¡¼ ½ÃÀ§ Âü°¡ÀÚ¸¦ ´ë»óÀ¸·Î ÇÑ ½ºÇǾî ÇÇ½Ì À̸ÞÀÏ(Spear phishing email)ÀÌ ¹ß°ßµÅ Ãæ°ÝÀ» ÁÖ°í ÀÖ´Ù. NSHC´Â 3ÀÏ ¡®È«Äá ¹ÝÁ¤ºÎ ½ÃÀ§´ë¸¦ ´ë»óÀ¸·Î ÇÏ´Â À§Çù È°µ¿¡¯À̶ó´Â Á¦¸ñÀÇ º¸°í¼¸¦ ÅëÇØ ÀÌ¿Í °°ÀÌ ¹àÇû´Ù.
[À̹ÌÁö=iclickart]
º¸°í¼¿¡ µû¸£¸é 2019³â 10¿ù ¸», È«Äá ½ÃÀ§¿¡ Âü¿©Çß´ø Âü°¡ÀÚ¸¦ ´ë»óÀ¸·Î ¹ß¼ÛµÈ ½ºÇǾî ÇÇ½Ì À̸ÞÀÏÀÌ ¹ß°ßµÆ´Ù. ½ºÇǾî ÇÇ½Ì À̸ÞÀÏÀº ¿Ü±¹ÀÇ À¯¸í ¹ýÇÐ ´ëÇлýÀ̶ó°í ÀÚ½ÅÀ» ¹àÈù ¹ß½ÅÀڷκÎÅÍ ¡°È«ÄáÀÇ Çö »óȲÀ» Á¾½Ä½Ãų ¼ö ÀÖ´Â ¹æÇ⡱°ú °ü·ÃÇØ ÀÛ¼ºÇÑ ÀÚ½ÅÀÇ ³í¹®¿¡ ´ëÇØ Çǵå¹éÀ» ¿äûÇÏ´Â ³»¿ëÀ» Æ÷ÇÔÇÏ°í ÀÖ¾ú´Ù. ÇØ´ç ½ºÇǾî ÇÇ½Ì À̸ÞÀÏ º»¹®¿¡´Â ±¸±Û µå¶óÀ̺꿡 ¾÷·Îµå µÇ¾î ÀÖ´Â ¾ÐÃà ÆÄÀÏÀ» ´Ù¿î·Îµå ÇÒ ¼ö ÀÖ´Â ¸µÅ©¸¦ Æ÷ÇÔÇÏ°í ÀÖ¾ú´Ù.
¡ã±¸±Û µå¶óÀÌºê ¸µÅ©·ÎºÎÅÍ ´Ù¿îµÈ FYI.zip ÆÄÀÏÀÇ ³»ºÎ ±¸¼º[ÀÚ·á=NSHC]
ZIP Çü½ÄÀÇ ¾ÐÃà ÆÄÀÏÀº ´ÙÀ½°ú °°ÀÌ 3°³ÀÇ ÆÄÀÏ·Î ±¸¼ºµÇ¾î ÀÖ¾ú´Ù.
¡¤Freedom House¿¡¼ 2019³â 8¿ù ¹ß°£ÇÑ È«Äá ¹ÎÁÖÁÖÀÇ À§±â °ü·Ã Á¤Ã¥ ¿ä¾àÁý
¡¤Human Rights First¿¡¼ 2019³â 9¿ù ¹ß°£ÇÑ È«Äá °ü·Ã º¸°í¼
¡¤ÀϺ» ´ÏÈ¥ÄÉÀÌÀÚÀÌ(Nihon Keizai) ½Å¹®»çÀÇ ´ÖÄÉÀÌ ¾Æ½Ã¾È ¸®ºä(Nikkei Asian Review)¿¡¼ ¹ß°£ÇÑ °Íó·³ º¸ÀÌ´Â ÆÄÀϸíÀ» °®´Â RTF ÆÄÀÏ
´ÖÄÉÀÌ ¾Æ½Ã¾È ¸®ºä(Nikkei Asian Review)¿¡¼ ¹ß°£ÇÑ °ÍÀ¸·Î º¸ÀÌ´Â RTF ÆÄÀÏÀº ½ÇÁ¦·Î ÀÌÁß È®ÀåÀÚ¸¦ °®´Â ¹Ù·Î °¡±â ÆÄÀÏ(LNK)ÀÌ´Ù. ¾ÆÄ«À̺ù(Archiving) ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇÏ¿© LNK ÆÄÀÏÀ» È®ÀÎÇϸé ÀÌÁß È®ÀåÀÚ ¡°****.rtf.lnk¡±¸¦ È®ÀÎÇÒ ¼ö ÀÖÁö¸¸, ´Ü¼øÈ÷ ¾ÐÃàÀ» ÇØÁ¦ÇÏ°í À©µµ¿ì Ž»ö±â·Î ÆÄÀÏÀ» È®ÀÎÇÒ °æ¿ì ¿î¿µÃ¼Á¦´Â LNK È®ÀåÀÚ¸¦ Ç¥½ÃÇÏÁö ¾Ê´Â´Ù.
LNK ÆÄÀÏÀº À©µµ¿ì ±âº» À¯Æ¿¸®Æ¼ÀÎ msiexec.exe¿¡ ´ëÇÑ ¹Ù·Î °¡±â ÆÄÀÏÀ̸ç, ¿ø°ÝÁö·ÎºÎÅÍ PNG È®ÀåÀÚ·Î À§ÀåÇÑ MSI ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù. MSI ÆÄÀÏÀº 2019³â 10¿ù 10ÀÏ¿¡ »ý¼ºµÈ ±êÇãºê(Github) °èÁ¤ÀÇ ¸®Æ÷ÁöÅ丮(Repository)·ÎºÎÅÍ ´Ù¿î·Îµå µÈ´Ù.
siHost64 ÆÄÀÏ ºÐ¼®
±êÇãºê ¸®Æ÷ÁöÅ丮¿¡¼ ´Ù¿î·Îµå µÈ ¡®siHost64.png¡¯´Â MSI ÆÄÀÏÀ̸ç, EXEMSI ÇÁ·Î±×·¥À» »ç¿ëÇØ Á¦À۵ƴÙ. ÇØ´ç ÆÄÀÏÀº ½ÇÇà ½Ã %APPDATA% Æú´õ¿¡ ¡®siHost64.exe¡¯¸¦ µå·Ó(Drop)ÇÏ°í ½ÇÇàÇϸç ÆÄÀ̽ã(Python)À¸·Î ÀÛ¼ºÇÑ ÇÁ·Î±×·¥À» ½ÇÇà ÆÄÀÏ·Î ¸¸µé¾îÁÖ´Â ÆÄÀÌÀνºÅç·¯(PyInstaller)·Î Á¦ÀÛÇÑ ½ÇÇà ÆÄÀÏÀÌ´Ù. ÇØ´ç ÆÄÀÏÀ» ¾ðÆÐÅ·(Unpacking)ÇÏ¸é ³»ºÎ¿¡ ´Ù¼öÀÇ ÆÄÀÏÀ» È®ÀÎÇÒ ¼ö ÀÖÀ¸¸ç, ÀÌ Áß ÇÙ½ÉÀÌ µÇ´Â ½ºÅ©¸³Æ®´Â ¡®siHost64¡¯´Ù.
¡ã¾ðÆÐÅ· µÈ ½ÇÇà ÆÄÀÏÀÇ ±¸¼º ¿ä¼Ò[ÀÚ·á=NSHC]
ÇÙ½ÉÀûÀÎ ¾Ç¼º ±â´ÉÀ» ¼öÇàÇÏ´Â ¡®siHost64¡¯¸¦ µðÄÄÆÄÀÏ(Decompile)Çϱâ À§ÇØ Ã¹ 8Byte¸¦ º¹¿øÇϸé, ÀÌ ÆÄÀÏÀÇ ÇÙ½É ±â´ÉÀ» ´ÙÀ½°ú °°ÀÌ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¡âÆÄÀ̽ã Request ¶óÀ̺귯¸®¸¦ »ç¿ëÇÏ¿© µå·Ó¹Ú½º(Dropbox) API È£Ãâ, ÀÌÈÄ µå·Ó¹Ú½º¸¦ HTTPS C2 ¼¹ö·Î »ç¿ë
¡âÅë½ÅÀ» À§ÇØ ÇÁ·Ï½Ã »ç¿ë
¡âµî·Ï ¸í ¡®siHost64¡¯·Î ¡°HKCU\Software\Microsoft\Windows\CurrentVersion\Run¡± ·¹Áö½ºÆ®¸®¿¡ ÀÚµ¿½ÇÇà µî·Ï. 2019³â 10¿ù 31ÀÏ¿¡´Â ¡°Dropbox Update Setup¡± °ªÀ¸·Î ¾Ç¼ºÄڵ尡 º¯°æ
¡â¡°ApmcJue1570368JnxBdGetr*^#ajLsOw¡± Å°¿Í ·£´ý ¼ÖÆ®(salt) °ªÀ» Á¶ÇÕÇÏ¿© AES CBC ¸ðµå·Î C2¿¡ ¾÷·Îµå µÇ´Â ÆÄÀÏ ¾ÏÈ£È
¡â¿î¿µ üÁ¦ ¹öÀü ¹× ¾ÆÅ°ÅØó, ÄÄÇ»ÅÍ À̸§, ·Î±×ÀÎ ÇÑ »ç¿ëÀÚ, ³¯Â¥ Á¤º¸¸¦ Æ÷ÇÔÇÏ´Â ¾ÏÈ£ÈµÈ ÆÄÀÏÀ» »ý¼ºÇÏ°í C2 ¼¹ö·Î Àü¼Û
°¨¿°µÈ ÄÄÇ»Å͸¦ È®ÀÎÇÑ °á°ú µµÀԺο¡¼ ¼³¸íÇÑ ÇÇÇØÀÚ ¿Ü¿¡ µ¿ÀÏÇÑ ÇØÅ· ±×·ì¿¡ ÀÇÇØ ÇÇÇظ¦ ÀÔÀº »ç¿ëÀÚ°¡ È«Äá ³»¿¡¼ Ãß°¡ÀûÀ¸·Î ¹ß°ßµÉ °ÍÀ¸·Î ÆǴܵȴÙ. ÀÌ ÇÇÇØÀڷκÎÅÍ À¯ÃâµÈ ÆÄÀÏÀº ¿©Çà°ú °ü·ÃµÈ ¹®¼, ±âµ¶±³ Âù¼Û°¡, ºñÁî´Ï½º ¹®¼ µîÀÇ °³ÀÎ ¹®¼ÀÎ °ÍÀ¸·Î º¸ÀδÙ.
C2 ¼¹ö´Â ¼öÁýµÈ ¹®¼¸¦ ¾÷·Îµå ÇÏ´Â °Í»Ó¸¸ ¾Æ´Ï¶ó, ¡®GetCurrentRollback.exe¡¯¿Í ¡®GetCurrentDeploy.dll¡¯ ÆÄÀϸíÀ» °®´Â 2°³ÀÇ Ãß°¡ ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇÏ´Â °ÍÀ¸·Î È®ÀεǾú´Ù. Ãß°¡ÀûÀ¸·Î ´Ù¿î·ÎµåÇÏ´Â ÆÄÀÏ 2°³ Áß ¡®GetCurrentRollback.exe¡¯´Â ÀüÀÚ ¼¸íÀÌ Á¸ÀçÇÏ´Â À©µµ¿ì ½ÇÇà ÆÄÀÏ·Î À©µµ¿ì 10 ÀÌÀüÀÇ ¿î¿µÃ¼Á¦¸¦ ¾÷±×·¹À̵åÇϱâ À§ÇØ »ç¿ëµÇ´Â Á¤»ó ÆÄÀÏÀÌ´Ù. ±×¸®°í ³ª¸ÓÁö ¡®GetCurrentDeploy.dll¡¯Àº ¡®GetCurrentRollback.exe¡¯¿¡ »çÀÌµå ·Îµù(Side Loading) Çϱâ À§ÇÑ DLL ÆÄÀÏ·Î ÆǴܵȴÙ. ¡®GetCurrentRollback.exe¡¯´Â 2016³âºÎÅÍ »ç¿ëµÇ¾úÀ¸¸ç, °¡Àå ¸¶Áö¸· ¹öÀüÀº 2019³â 11¿ù¿¡ °ø°³µÇ¾ú´Ù. ÀÌ´Â ¡®GetCurrentRollback.exe¡¯ÀÇ ¸ðµç ¹öÀüÀÌ DLL »çÀÌµå ·Îµù(DLL Side Loading)¿¡ ÀÇÇØ ¾Ç¿ëµÉ ¼ö ÀÖÀ½À» ÀǹÌÇÑ´Ù.
º¸°í¼´Â ÇÇÇØÀÚ Á¤º¸¿Í À¯ÃâµÈ ÆÄÀÏÀ» Åä´ë·Î ÇØ´ç ½ºÇǾî ÇÇ½Ì À̸ÞÀÏÀ» ¹ß¼ÛÇÑ ÇØÅ· ±×·ìÀº È«Äá ½ÃÀ§¿Í °ü·ÃµÈ »ç¶÷ ¶Ç´Â ÁÖº¯ÀÎÀ» ¸ð´ÏÅ͸µ Çϱâ À§ÇÑ ¸ñÀûÀ¸·Î ÇØÅ· È°µ¿À» ¼öÇàÇÏ´Â °ÍÀ¸·Î ÆÇ´ÜµÈ´Ù°í ¹àÇû´Ù. ¾Æ¿ï·¯ ÀÌ·¯ÇÑ È°µ¿Àº ¹ÎÁÖÁÖÀÇ ¿îµ¿ÀÇ ¸ñÀûÀ» ÀÌÇØÇÏ°í À̵éÀ» ÁöÁöÇϱâ À§ÇØ, ¶Ç´Â À̵éÀÇ ¿òÁ÷ÀÓÀ» ÀúÁöÇϱâ À§Çؼ µîÀÇ ¿©·¯ °¡´É¼ºÀ» Áö´Ò ¼ö ÀÖ¾î, ThreatRecon Team¿¡¼´Â À̵éÀÇ ÇØÅ· È°µ¿°ú °ü·ÃµÈ ¿òÁ÷ÀÓÀ» Áö¼ÓÀûÀ¸·Î °üÂû ¹× ÃßÀû Áß¿¡ ÀÖ´Ù°í µ¡ºÙ¿´´Ù.
ƯÈ÷ º¸°í¼´Â ÇØÅ· ±×·ìµéÀÌ µå·Ó¹Ú½º¿Í ±¸±Û µå¶óÀÌºê ¶Ç´Â ±êÇãºê¿Í °°Àº ÇÕ¹ýÀûÀÎ ¼ºñ½º¸¦ ÇØÅ· °úÁ¤¿¡¼ »ç¿ëÇÏ´Â °ÍÀº »õ·Î¿î ¹æ½ÄÀº ¾Æ´ÏÁö¸¸, ³×Æ®¿öÅ© ŽÁö¸¦ ½±°Ô ¿ìȸÇÒ ¼ö ÀÖ´Â ¹æ¹ý Áß Çϳª¶ó°í ¼³¸íÇß´Ù. ÀÌ·¯ÇÑ À§Çù¿¡ ´ëÀÀÇϱâ À§ÇØ ±â¾÷ÆÀÀº °ø½ÄÀûÀ¸·Î ºó¹øÇÏ°Ô »ç¿ëÇÏÁö ¾Ê´Â À©µµ¿ì 10 ¾÷µ¥ÀÌÆ® µµ¿ò ÇÁ·Î±×·¥ µîÀÇ ½¦µµ¿ì(Shadow) IT ¼ºñ½º¸¦ Â÷´ÜÇϰųª ŽÁöÇÒ ¼ö ÀÖÁö¸¸, À̹ø »ç·Ê¿Í °°ÀÌ ÀÏ¹Ý °³ÀÎ ¶Ç´Â »ó´ëÀûÀ¸·Î º¸¾ÈÀÌ Ãë¾àÇÑ ºñ¿µ¸® ´Üü ¹× ±³À° ±â°ü µîÀº ƯÁ¤ ÇØÅ· ±×·ìÀÇ °ø°Ý ´ë»óÀÌ µÇ´Â °æ¿ì ¿©·¯ º¸¾È Á¶Ä¡¸¦ ÃëÇϱ⠾î·Á¿î ½ÇÁ¤À̶ó°í °Á¶Çß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>