라자루스(Lazarus), 소명자료카지노 주사위 게임 위장한 '무비 코인' 캠페인 지속
2019년 08월 13일 제작된 신규악성 카지노 주사위 게임 문서가 발견되었는데, 이번에는 국세청 관련 문서처럼 사칭한 공격이었습니다.
해당 악성코드를 조사해 본 결과, 지난 6월부터 7월까지 국내에서 카지노 주사위 게임적으로 발견되고 있는 ''시리즈로 분석되었습카지노 주사위 게임.
제목 | 마지막 저장시간 (UTC) | 마지막 저장자 | MD5 |
별지 제172호 서식 | 2019-08-13 02:32:05 | User | 7bece42a704800a6686cad43d3f5ee62 |
라자루스(Lazarus) APT 그룹의 오퍼레이션 '무비 카지노 주사위 게임' 시리즈 관련 글은 아래와 같고, 지난 6월부터 8월까지 지속적인 활동이 포착되고 있습니다. 이번까지 총 7번째 리포팅이 진행되고 있습카지노 주사위 게임.
▶(2019. 07. 23)
▶(2019. 07. 19)
▶(2019. 07. 15)
▶(2019. 07. 12)
▶(2019. 07. 02)
▶(2019. 06. 20)
오퍼레이션 '무비 카지노 주사위 게임'의 경우, 위협배후에 대표적정부후원 해킹조직인 '라자루스(Lazarus)' 그룹이존재하는 것으로 알려져 있고, 국내 유명 암호화폐 거래소에 가입되어 있던 회원들이 주요 공격 대상에 포함되어 있습니다.
■ 카지노 주사위 게임 APT 조직, 사이버공격을 통한 금전적 수익시도 지속적 수행
이번 공격에 사용된 악성 카지노 주사위 게임 문서는 기존과 마찬가지로 마지막 저장 계정이 'User'이며, 동일한 포스트스크립트(PostScript) 취약점을 활용했습니다.
그리고 인터넷에 공개되어 있는 실제 공문서 양식(재산취득 자금출처에 대한 소명카지노 주사위 게임제출)에 악성스크립트를 삽입했습니다.
인터넷에 공개되어 있는 정상문서에는 아래와 같이 앞면과 뒷면 2장으로 구성되어 있지만, 악성문서에는 뒷면의 '소명카지노 주사위 게임제출요구서' 내용만 포함되어 있습니다.
[그림 1] 정상적인 소명카지노 주사위 게임제출요구서문서화면
공격자는 실제 정상문서 내용을 도용해 악성코드를 삽입하여 공격에 활용하였습카지노 주사위 게임.
이번과 유사한공격기법은 이미 지난 2017년 05월 '납세담보변경카지노 주사위 게임' 등의악성 HWP 파일이 다수보고된 바 있고, 그 이후로도 변종 HWP 파일이 다양한 유형으로 공격이 수행되었습니다.
[그림 2] 실제 비트카지노 주사위 게임 거래자들에게 전송된스피어 피싱 화면
특히, 한국의 특정 암호화폐 거래소 직원 및 회원들을 대상으로 집중적인 공격이 수행되었습카지노 주사위 게임.
아래는 2017년부터 2018년까지 발견됐던 유사 변종 사례 중 시간흐름으로 일부만 정리한 것입카지노 주사위 게임.
주로 카지노 주사위 게임 취약점이 사용되지만, 공격 대상에 따라 XLS, DOC 매크로 기능을 활용한 방법도 사용되었습니다. 당시 악성 문서파일 제작자는 비슷한 컴퓨터 계정을 사용하였습니다.
주로 'jikpurid', 'David', 'Administrator', 'Tiger', 'User', 'alosha' 등이고, 최근에는 'User' 계정이 계속 쓰이고 있습카지노 주사위 게임.
파일명 | 마지막 저장 시간 (UTC) | 마지막 저장자 | MD5 |
| report.xls | 2017-03-20 15:45:31 | David (작성자 : jikpurid) | c272af488ff4c4af2941fd83b1484f33 |
| 이력서.카지노 주사위 게임 | 2017-04-28 04:40:50 | Administrator (작성자 : jikpurid) | 2963055f30a0c04a4e7abf97b1d54faa |
데이터.카지노 주사위 게임 | 2017-05-02 04:48:11 | jikpurid (작성자 : jikpurid) | 0a355fb170b46479fee2796531a7f2ed |
납세담보변경카지노 주사위 게임.hwp | 2017-05-16 00:49:41 | Administrator | 954de3d332e5de9889e8cc8936f7c83e |
세무조사준비서류.카지노 주사위 게임 | 2017-05-22 06:57:21 | Administrator | f47ea4c8943f868d67cf69bb0770ab27 |
법인(개인)혐의거래보고내역.카지노 주사위 게임 | 2017-05-22 10:07:15 | jikpurid | f3c9b8f10a4982f898f755f0b352a53f |
| 환전_해외송금_한도_및_제출서류.카지노 주사위 게임 | 2017-05-29 04:05:14 | Administrator | 0f41c221b8ed10540e4f8ac4b125898e |
| 국내 가상화폐의 유형별 현황 및 향후 전망.카지노 주사위 게임 | 2017-06-12 06:45:54 | Tiger | b84e781bbff0bbff63f3d88c6ce4d84e |
이력서(김정희).카지노 주사위 게임 | 2017-06-16 02:54:41 | User (작성자 : jikpurid) | 64054e877f48522f8a04a183843a9a39 |
입사지원서(곽정민).카지노 주사위 게임 | 2017-06-16 02:58:01 | User | 5cf5bac15c27cc140cc482c722a81b0d |
| [가상화폐 법률] 국가별 가상화폐 허용 현황.카지노 주사위 게임 | 2017-06-19 01:34:58 | Tiger | be2d8ac855b605cce98bec3f8d334ce3 |
| 예금질권설정 서류안내(핀테크카지노 주사위 게임).hwp | 2017-07-10 05:04:34 | Administrator | a007249e09dd915d7c1c8072ad86b18a |
| 비트카지노 주사위 게임_지갑주소_및_거래번호.hwp | 2017-07-31 07:40:07 | Administator | ec7ba18cc775a58647943e16d51d01ac |
| (대검)2017임시113호(마약류 매매대금 수익자 추정 지갑주소 164건).카지노 주사위 게임 | 2017-08-04 00:57:10 | Administrator | f420757270d0987148b950f2066bbbab |
| 전산 및 비전산 카지노 주사위 게임 보존요청서.hwp | 2017-08-10 05:23:20 | User | 1c0ee8e91704ca11cb4b9825541e8f7a |
| 스트리미_조사사전예고통지 (1).카지노 주사위 게임 | 2017-08-10 06:05:16 | User | 2cd28ee74910be7a023d10e3860eae5c |
반성문.카지노 주사위 게임 | 2017-08-16 10:32:25 | alosha | d4a8acca0c0af629f600234d230ab0cf |
| 유병록 입사지원서.카지노 주사위 게임 | 2017-09-19 03:09:35 | alosha | 7de8b065e2587765fca5a163f958637d |
| 한국블록체인협회_가입의향서.카지노 주사위 게임 | 2017-09-21 04:47:53 | alosha | 0b93a989d776d627f9e079b03af0dc46 |
| 비트카지노 주사위 게임 관련 주요 범죄 수사결과.hwp | 2017-10-13 03:18:57 | alosha | ce3350131bbfca1a330dad62653a132d |
| [붙임]조사 당일 구비하여야 할 서류 1부.카지노 주사위 게임 | 2017-10-17 08:30:00 | 김미숙 | 87c748f59f97dfb29b48079532b39e5c |
| 김다은.카지노 주사위 게임 | 2017-11-01 03:32:38 | alosha | e50256b8e8496a030561f5ad6d9bda1e |
| 김지예.카지노 주사위 게임 | 2017-11-29 17:44:32 | alosha | a687afc6a4540e5d44078aa933feecb6 |
정아경.카지노 주사위 게임 | 2017-11-30 18:22:59 | alosha | a6dd0124fb5cb054f1614f13f3f2fe48 |
| (업체명)_가상화폐_거래소_정보보호_현황_자체점검표.카지노 주사위 게임 | 2017-12-14 17:54:48 | Administrator | 8d7f9eef073b1971dfc1a231cdda9d30 |
| 가상화폐와 각국의 규제정책.카지노 주사위 게임 | 2018-02-22 07:45:43 | Administrator | e2cba0052fd8717fe33d5f8744cfd2a1 |
| 이학영_의원실_암호통화의_경제적_의미와_정책대응방향_토론회내지.카지노 주사위 게임 | 2018-02-24 07:53:40 | Administrator | a5892a400c85fd1a5053ca5caca742a7 |
■ 소명 카지노 주사위 게임 제출 요구서를 사칭한코드 분석
소명 자료 제출 카지노 주사위 게임 위장한 악성 HWP 문서파일은 2019년 08월 13일 코드가 저장되었으며, 'BinData' 스트림에 'BIN0001.PS' 포스트스크립트(PostScript) 코드가 포함되어 있습니다.
[그림 3] 포스트스크립트와 카지노 주사위 게임 문서파일 정보
포스트스크립트에는 다음과 같이 구성되어 있으며, 16바이트(39 C3 B2 70 05 85 3E 98 66 1C 8B BC 1B DD EA F8)로 XOR 로직으로 암호화 되어 있습카지노 주사위 게임.
/Y101 <169A835034B31DDE205ACD9C7FB88CD8169A80505CB41EF9146EEAC53
-중간 생략-
5505CB409B83F2DBB8C3BECDCDB00FB921161E11EC15F28ABE52AEACAA10BE3835062E04AB80570E4CF7EBB83945CC9 def /Y102 <39C3B27005853E98661C8BBC1BDDEAF8 def 0 1 Y101 length 1 sub {/Y18 exch def Y102 Y18 15 and get Y101 Y18 get xor Y101 exch Y18 exch put} for Y101 cvx exec
복호화가 진행되면 2번째 포스트스크립트(PostScript) 코드가 나타나게 되며, 내부에 쉘코드(Shellcode) 로드를 수행하게 됩카지노 주사위 게임.
쉘코드 명령에 의해 특정웹 서버 주소로 연결을 시도하게 되며, 감염된 윈도우즈 시스템에 따라 32비트용, 64비트용 암호화된 악성코드가 선택됩카지노 주사위 게임.
[그림 4] 쉘코드에 포함되어 있는 C2 서버 화면
-https://www.sparkdept[.]com/wp-content/uploads/themify/theme2.db.enc (32비트)
-https://www.sparkdept[.]com/wp-content/uploads/themify/theme4.db.enc (64비트)
공격자가 만든파일명 'theme2.db.enc', 'theme4.db.enc' 확장자에도 마치 암호화(Encrypt)된 것을 의미하는 단어가 지정되어 있습카지노 주사위 게임.
각각의 파일은 0xAA 키로 1바이트씩 XOR 로직으로 암호화되어 있으며, 복호화를 거치면 아래화면과 같이 악성 DLL 파일이 생성됩카지노 주사위 게임.
[그림 5] 최종 페이로드 파일 암/복호화 비교 화면
최종 악성모듈은 3개의 명령제어(C2) 서버로 통신을 시도하며, 감염된 컴퓨터의 정보를 유출시도하고, 공격자의 추가 명령을 대기하게 됩카지노 주사위 게임.
- https://stokeinvestor[.]com/common.php
- https://growthincone[.]com/board.php
- https://inverstingpurpose[.]com/head.php
[그림 6] C2 접속 코드 화면
ESRC는 이 3개의 C2 도메인을 조사하는 과정 중에 흥미로운 점을발견했습카지노 주사위 게임. C2 서버 3곳모두 거의 동일한 시점에 동일한 곳에서 등록되었다는 것입카지노 주사위 게임.
이런 점을 유추해 볼 때 공격자가 직접 C2 서버를 등록하고 구축해사용했을 가능성도배제할 수 없습카지노 주사위 게임. 최근까지 워드 프레스 기반의 웹 서버가 C2 호스트로악용되었습니다.
growthincone.com | stokeinvestor.com | inverstingpurpose.com |
Registry Domain ID: 2395886348_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2019-05-28T08:43:12.00Z Creation Date: 2019-05-28T08:43:12.00Z Registrar Registration Expiration Date: 2020-05-28T08:43:12.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 | Registry Domain ID: 2395886352_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2019-05-28T08:43:14.00Z Creation Date: 2019-05-28T08:43:14.00Z Registrar Registration Expiration Date: 2020-05-28T08:43:14.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 | Registry Domain ID: 2395886354_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2019-05-28T08:43:15.00Z Creation Date: 2019-05-28T08:43:15.00Z Registrar Registration Expiration Date: 2020-05-28T08:43:15.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 |
■ 결론
이처럼 최근 비트카지노 주사위 게임, 이더리움 등 암호화폐를 거래하는 이용자를 대상으로 한 꾸준한 APT 공격이 수행되고 있습니다.
특히, 카지노 주사위 게임 취약점을 이용한 스피어 피싱(Spear Phishing) 공격이 은밀하게 진행되고 있으므로, 사용중인 문서 소프트웨어를 반드시 최신 버전으로 업데이트하여야 하고, DOC, XLS 파일의 매크로 실행은 절대 허용하지 않는 것이 좋겠습니다.
카지노 주사위 게임와 관련된 APT 공격 사례들은 아래 포스팅을 참고해 주시기 바라며, 해당 악성코드들은 알약에 치료 기능이 추가되고 있습니다.
▶(2019. 07. 30)
▶(2019. 06. 27)
▶(2018. 09. 20)
▶(2018. 04. 26)
▶(2018. 04. 11)