Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향주식 투자자를 대상으로 하는 북한 소프트웨어 공급망 공격
작성일 2021-01-06 조회 2122

north korea

 

북한의 해킹그룹 Talium(탈리움, APT37)이 민간 주식투자 메신저 서비스 사용자를 표적으로 삼아 소프트웨어 공급망 공격을 실시했다.

 

해당 그룹은 지금까지는 주로 마이크로소프트 오피스 문서를 통한 피싱 공격을 진행했으나, 현재는 투자자들을 대상으로 한 악성 윈도우 인스톨러, 매크로를 포함한 악성 오피스 문서를 이용해 공격하고 있다.

 

EST 보안센터는 북한 해킹그룹이 악성코드 발송을 위해 민간 주식투자 메시징 애플리케이션을 변경했다고 보고했다.

 

탈리움으로 알려진 이 그룹은 MS Windows의 인기 있는 스크립트 기반 설치 프로그램인 NSIS(Nullsoft Scriptable Install System)를 사용하여 윈도우즈 실행파일을 만들었다.

 

실행 파일에는 정상적인 주식 투자 프로그램 외에 악성 코드가 포함되어 있었다.

 

주식 투자 플랫폼 설치 중 공격자는 악성 FTP 서버에서 악의적인 XLS 스크립트를 가져 오는 명령을 실행하고, 내장된 wmic를 통해 윈도우에서 실행한다.

 

[그림 1. FTP명령을 통한 XLS 스크립트 다운]

 

그런 다음 VB Script를 실행하여 Program Data 디렉토리에 'OracleCache', 'PackageUninstall', 'usopub[.]vbs' 라는 파일 및 폴더를 생성한 후 C2서버에 연결하여 추가 명령을 수신한다.

 

[그림 2. C2서버에서 명령을 검색하는 VB Script]

 

악성 코드는 activate라는 악성 스케줄링 작업을 생성하여 지속성을 달성한다.

 

연구원들은 또한 매크로가 포함된 Excel 스프레드시트와 같은 Office 문서들이 앞에서 언급한 XLS 스크립트 페이로드를 배포하고 있는 것을 관찰했다.

 

출처

https://www.bleepingcomputer.com/news/security/north-korean-software-supply-chain-attack-targets-stock-investors/

 

첨부파일 첨부파일이 없습니다.
태그 탈리움