ASEC 분석팀은 최근 원자력 발전소 관련 기업 대상으로 AppleSeed 악성코드를 유포하는 정황을 확인하였다. AppleSeed는 북한 관련 조직 중 하나인 Kimsuky 에서 사용하는 백도어 악성코드로 여러 기업을 타겟으로 활발히 유포하고 있다.
이번에 ASEC 분석팀에서 확인된 AppleSeed 드롭퍼 파일명은 아래와 같으며, 사용자를 속이기 위하여 이중 확장자를 사용하였다.
- 노**.xls.vbs
- 배치도_고리2호기ISI.pdf.vbs
파일을 실행하면 내부에 있는 인코딩 데이터를 디코딩하여 아래 경로에 파일이 각각 생성된다.
- [vbs 파일과 같은 경로]\노**.xls (정상 엑셀 미끼 파일)
- %ProgramData%\qijWq.rSCKPC.b64 (특정 형태로 인코딩 된 악성 PE 파일)
- %ProgramData%\qijWq.rSCKPC.bat (qijWq.rSCKPC.b64 파일을 디코딩하는 배치 파일)
파일로 출력된 엑셀 파일을 자동으로 실행시켜 사용자가 정상적인 엑셀 문서를 열람한 것처럼 보이도록 하였다. 미끼 엑셀 파일의 본문은 아래와 같으며, 내용에 원자력 발전소 관련 문구가 작성되어 있다.
백그라운드에서는 %ProgramData% 경로에 있는 qijWq.rSCKPC.bat 파일을 실행하여 qijWq.rSCKPC.b64를 디코딩하여 최종적으로 같은 경로에 qijWq.rSCKPC 파일(DLL PE)을 생성한다.
그 후, DLL 파일을 실행하는 프로그램인 regsvr32를 이용하여 드롭된 악성코드를 실행시킨다. 정확한 실행 인자는 아래와 같다.
- regsvr32 /s /i:123579ASDFG C:\ProgramData\qijWq.rSCKPC
해당 파일이 실행된 후, 아래 C2에 접근 후 특정 명령어를 받아와 명령대로 수행 후 결과를 특정 형태로 인코딩하여 C2로 전송한다.
- C2 : hxxp://ndt.info[.]gf/index.php
- 명령어
- die : 종료
- getinfo : 컴퓨터 정보
- where : 현재 실행되고 있는 경로
- run : 특정 파일 또는 명령어 실행
공격자는 run 명령어를 이용하여 공격자가 원하는 행위를 일으키도록 할 수 있으며, AppleSeed와 같은 추가 악성코드 파일을 다운로드 받아 실행할 수 있다.
이처럼 일반 사용자들은 미끼 문서 파일이 함께 실행되어 자신이 악성코드에 감염되었다는 사실을 인지하지 못하는 경우가 많다. 보통 이런 파일들은 특정 회사들을 겨냥하여 공격이 이루어지기 때문에 출처가 불분명한 메일의 첨부 파일을 실행하지 않도록 주의가 필요하다.
현재 안랩 V3 제품은 해당 파일에 대해 다음과 같이 진단하고 있다.
[파일 진단]
Dropper/VBS.Generic.SC183898 (2022.10.19.03)
Dropper/Win.AppleSeed.R531012 (2022.10.20.00)
Dropper/VBS.VBS (2022.10.19.03)
[IOC 정보]
55a9a935b36da90fb5a7ab814d567a40
ba83312ea92c284c710bcc0906a29fb1
hxxp://ndt.info[.]gf/index.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
原文始发于ASEC:원자력 발전소 관련 기업 대상으로 AppleSeed 유포
相关文章
