Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향중국발 APT10 그룹의 전세계적 정부 공격 캠패인
작성일 2019-02-01 조회 1945

Translation into English

Translation into Japanese (日本語への翻訳)

Translation into Chinese (翻译成中文)

 

 

 

[그림. 1] FBI의 APT10 해킹 그룹에 대한 공지

 

 

올해 1월 US-CERT에서 중국발 APT10 그룹의 전세계적 정부 공격 캠패인을 발표했습니다.


APT 10 해킹 그룹의 두 명의 중국 해커가 정부 기관인 NASA 및 기타 45 명의 미국 기술 대기업의 지적 재산권 및 기밀 비즈니스 정보를 손상시킨 혐의로 기소되었습니다.
APT10 해킹 그룹은 항공, 위성 및 해상 기술, 산업 공장 자동화, 자동차 용품, 실험실 장비, 금융 및 금융, 통신 및 소비자 전자 제품, 컴퓨터 프로세서 기술, 정보 기술 서비스를 포함한 대부분의 상업 활동을 대상으로 하고 있습니다.
이번 캠패인은 미국의 12개 주와 미국 정부 기관의 45개 이상의 기술 회사에 대해 공격을 시도했습니다.

 

[그림. 2] 기소된 APT10 그룹 중국인

 

 

또한 미국 뿐만 아니라, 영국, 브라질, 캐나다, 핀란드, 프랑스, 독일, 인도, 일본, 스웨덴, 스위스 및 아랍 에미리트 연합 (UAE) 등 12 개국 이상의 관리 서비스 제공 업체(MSP)와 정부 및 상업 고객으로부터 다양한 민감한 데이터를 탈취했습니다.

 

[그림. 3] 사이버 위협 국가별 분포 (https://www.alienvault.com/blogs/security-essentials/apt10-group-targets-multiple-sectors-but-seems-to-really-love-mssps)

 

 

 

 

1. 공격 캠패인

 

- 중국 APT10 침입 활동 목표 

  * 정부, 클라우드 컴퓨팅 관리 서비스 
  * 전 세계 공급자 및 고객 네트워크.

 

- APT10으로 알려진 공격 그룹명 

 * APT10
 * Cloud Hopper
 * menuPass
 * Stone Panda
 * Red
 * Apollo
 * CVNX and POTASSIUM

 

- 공격에 사용되는 취약점 리스트

 * CVE-2018-8477 
 * CVE-2018-8514 
 * CVE-2018-8580 
 * CVE-2018-8595 
 * CVE-2018-8596 
 * CVE-2018-8598 
 * CVE-2018-8616 
 * CVE-2018-8621 
 * CVE-2018-8622 
 * CVE-2018-8627 
 * CVE-2018-8637 
 * CVE-2018-8638 
 * CVE-2018-8373
 * CVE-2018-8174 
 * CVE-2017-8759 
 * CVE-2017-1182 
 * CVE-2017-0199 

 

[그림. 4] 악성코드 배포에 사용된 Office 365 취약점

 

 

2. 악성코드

 

(1) REDLEAVES

 

- (RAT 유형 악성코드)

 * spearphishing campaigns as an intrusion vector
 * TROCHILUS RAT와 코드 유사성

 

- REDLEAVES 구성

 * executable file (EXE)
 * custom loader (DLL)
 * encoded data file (DAT) containing shellcode
 * REDLEAVES DLL

 

- 실행

 * remote shell , cmd.exe 를 이용한 명령 실행
 * 다음과 같은 정보를 탈취 (file search/deletion, screenshots, as well as data transmission)
 * C&C 전송시 Rawdata를 MiniLZO로 압축하고, RC4로 암호화
 * C&C 통신은 HTTP/HTTPS or custom TCP protocols across ports 53, 80, 443 and 995.
 * 탐지를 피하기 위해 메모리에서 작동
 * 감염시 "svchost.exe"프로세스는 "services.exe"를 부모로 갖지 않습니다. 
 * "svchost.exe"메모리 페이지는 RWX (read-write-execute)로 매핑 

 

[그림. 5] C&C 통신 - 1

 

[그림. 6] C&C 통신 - 2

 

 

- IoC (REDLEAVES)

MD5 hash: 6a1c14d5f16a07bef55943134fe618c0
  + Certificate: 01 00 00 00 00 01 2A 60 4F B6 B4 [Tsingsoft Imagination Information Technology Co., Ltd.]
  + Certificate: 04 00 00 00 00 01 1E 44 A5 EC BE [not time valid]
  + Certificate: 04 00 00 00 00 01 23 9E 0F AC B3 [not time valid] 
MD5 hash: 81df89d6fa0b26cadd4e50ef5350f341
MD5 hash: b3139b26a2dabb9b6e728884d8fa8b33 
MD5 hash: 06b0af6ff00647f57119d8a261829f73 
MD5 hash: 080f8017607bb14e0b1ad25ec6e400f5 
MD5 hash: 265cf3ddc1e43449ae067e0e405ecd2f 
MD5 hash: 4f1ffebb45b30dd3496caaf1fa9c77e3 
MD5 hash: 627b903657b28f3a2e388393103722c8
MD5 hash: 797b450509e9cad63d30cd596ac8b608
MD5 hash: c9460df90bd8db84428b8c4d3db1e1e1 
MD5 hash: c9e7710e9255e3b17524738501fa8d45 
MD5 hash: d2d086f62f3fcdc5be8eba3879e04b90 
MD5 hash: dd0494eb1ab29e577354fca895bec92a 
MD5 hash: ddc8df45efe202623b3c917d766c9317 
MD5 hash: e2627a887898b641db720531258fd133
MD5 hash: ed65bbe9498d3fb1e4d4ac0058590d88 
MD5 hash: fb0c714cd2ebdcc6f33817abe7813c36

 

 


(2) UPPERCUT/ANEL

 

- 배포 및 감염

 * First-Stage : VBA를 이용한 decoy Word documents (CVE-2017-8759 and CVE-2017-1182)
 * 스피어피싱에서 금융정보와 같은 정보 탈취시 Secnod-stage 페이로드로 사용
 * 사용자가 문서 열람시 3개의 PEM Text Files drop
  ** certutil.exe 
  ** DLL
  ** DAT containing shellcode
  ** UPPERCUT DLL

 

[그림. 7] 문서에 암호를 걸어 자동분석 시스템 우회

 

 

- C&C 통신

 * Blowfish 암호화 사용
 * HTTP GET or POST requests
 * 수집 데이타 - initially collects victim computer information, such as hostname and OS version
 * 수집된 정보를 암호화해 URI를 통해 C2에 전송
 * C2에서 Response 없을시 쿠키헤더에 GetLastError 코드를 포함시켜 요청을 C&C에 다시 보냄
 * 이후 명령은 HTTP body에 저장되 전송

 

[그림. 8] ms-word,바로가기 파일 아이콘으로 위장한 악성코드

 

 

- IoC (UPPERCUT/ANEL)

MD5 Hash: 4f83c01e8f7507d23c67ab085bf79e97 
MD5 Hash: cca227f70a64e1e7fcf5bccdc6cc25dd 
MD5 Hash: f188936d2c8423cf064d6b8160769f21

 

 

(3) CHCHES

 

- HTTP 쿠키 헤더를 이용해 C&C 통신


- 스피어피싱에서 금융정보와 같은 정보 탈취시 Secnod-stage 페이로드로 사용


- Wordicon or shortcut, 만료된 인증서 등으로 위장


- 수집 데이터

 * hostname; process
 * identifier (PID); current working directory (%TEMP%); screen resolution; as well as kernel32.dll or explorer.exe version


- C&C 통신

 * HTTP GET or POST request 헤더의 쿠키에 AES 암호화 데이타 전송

 

[그림. 9] C&C 통신

 

 

- IoC (CHCHES)

MD5 Hash: 19610f0d343657f6842d2045e8818f09
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 1d0105cf8e076b33ed499f1dfef9a46b
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 472b1710794d5c420b9d921c484ca9e8
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 684888079aaf7ed25e725b55a3695062
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: ca9644ef0f7ed355a842f6e2d4511546
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 37c89f291dbe880b1f3ac036e6b9c558
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: c0c8dcc9dad39da8278bf8956e30a3fc
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: b0649c1f7fb15796805ca983fd8f95a3 MD5 Hash: 1b891bc2e5038615efafabe48920f200
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: f5744d72c6919f994ff452b0e758ffee
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 0c0a39e1cab4fc9896bdf5ef3c96a716
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 23d03ee4bf57de7087055b230dae7c5b
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: c1cb28327d3364768d1c1e4ce0d9bc07
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]  
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: db212129be94fe77362751c557d0e893
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]   
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 07abd6583295061eac2435ae470eff78
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]  
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 7891f00dcab0e4a2f928422062e94213
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]  
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 8a93859e5f7079d6746832a3a22ff65c
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]  
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: 3afa9243b3aeb534e02426569d85e517
  + Certificate: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9 [not time valid, revoked]  
  + Certificate: 52 00 E5 AA 25 56 FC 1A 86 ED 96 C9 D4 4B 33 C7
  + Certificate: 18 DA D1 9E 26 7D E8 BB 4A 21 58 CD CC 6B 3B 4A
MD5 Hash: dbb867c2250b5be4e67d1977fcf721fb 
MD5 Hash: d1bab4a30f2889ad392d17573302f097
MD5 Hash: f586edd88023f49bc4f9d84f9fb6bd7d
MD5 Hash: f03f70d331c6564aec8931f481949188 
MD5 Hash: 75500bb4143a052795ec7d2e61ac3261 
MD5 Hash: 3cbb5664d70bbe62f19ee28f26f21d7e 
MD5 Hash: ac725400d9a5fe832dd40a1afb2951f8 
MD5 Hash: c2a07ca21ecad714821df647ada8ecaa 
MD5 Hash: e8f3790cfac1b104965dead841dc20b2

 

 

 

 

3. 대응방안

 

1. 소프트웨어는 공식 사이트에서 다운로드 받습니다.
2. 신뢰하지 못하는 메일의 첨부파일을 다운로드 및 실행하지 않습니다.

 

 

 


4. WINS Sniper 제품군 대응 방안

 

► Sniper-IPS

[3699] MS .NET Framework RCE
[3881] MS .NET Framework RCE.A
[4571] MS .NET Framework RCE.B
[4276] MS Windows VBScript Engine RCE
[4319] MS Windows VBScript Engine RCE.A
[4436] MS Windows VBScript Engine RCE.B
[4663] MS Windows VBScript Engine Dynamic Memory Array UAF
[4664] MS Windows VBScript Engine Dynamic Memory Array UAF.A
[4215] MS Office OLEObject Type Cofusion
[4216] MS Office OLEObject Type Cofusion.A
[3470] MS Word rtf OLE2Link RCE
[3604] MS Word rtf OLE2Link RCE.B
[3637] MS Word rtf OLE2Link RCE.C
[3648] MS Word rtf OLE2Link RCE.D
[4666] Win32/RAT.RedLeaves.3804160
[4667] Win32/RAT.RedLeaves.Connection
[4668] Win32/Trojan.CHCHES.389632

 

► Sniper-UTM

[805374219] MS .NET Framework RCE
[805374323] MS .NET Framework RCE.A
[805374729] MS .NET Framework RCE.B
[805374553] MS Windows VBScript Engine RCE
[805374571] MS Windows VBScript Engine RCE.A
[805374639] MS Windows VBScript Engine RCE.B
[805374805] MS Windows VBScript Engine Dynamic Memory Array UAF
[805374806 MS Windows VBScript Engine Dynamic Memory Array UAF.A
[805374506] MS Office OLEObject Type Cofusion
[805374507] MS Office OLEObject Type Cofusion.A
[838861159] MS Word rtf OLE2Link RCE
[805374090 MS Word rtf OLE2Link RCE.A
[805374172] MS Word rtf OLE2Link RCE.B
[838861222] MS Word rtf OLE2Link RCE.C
[838861226] MS Word rtf OLE2Link RCE.D
[838861591] Win32/RAT.RedLeaves.3804160
[838861592] Win32/RAT.RedLeaves.Connection
[838861593] Win32/Trojan.CHCHES.389632

 

► Sniper-APTX

[2891] MS .NET Framework RCE
[3087] MS .NET Framework RCE.A
[3823] MS .NET Framework RCE.B
[3525] MS Windows VBScript Engine RCE
[3567] MS Windows VBScript Engine RCE.A
[3686] MS Windows VBScript Engine RCE.B
[3921 MS Windows VBScript Engine Dynamic Memory Array UAF
[3922] MS Windows VBScript Engine Dynamic Memory Array UAF.A
[3463] MS Office OLEObject Type Cofusion
[3464] MS Office OLEObject Type Cofusion.A
[2771] MS Word rtf OLE2Link RCE
[2826] MS Word rtf OLE2Link RCE.C
[2834] MS Word rtf OLE2Link RCE.D
[3924] Win32/RAT.RedLeaves.3804160
[3926] Win32/Trojan.CHCHES.389632

 

 

 

5. 참조

 

https://www.waterisac.org/system/files/articles/(U)%20FBI%20FLASH%20-%20%20Chinese%20APT10%20intrusion%20activities%20target%20-%2020190102.pdf

https://www.alienvault.com/blogs/security-essentials/apt10-group-targets-multiple-sectors-but-seems-to-really-love-mssps

첨부파일 첨부파일이 없습니다.
태그 APT10