Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Lazarus 그룹의 Operation Blockbuster
작성일 2017-12-01 조회 1610

 

개요

북한의 해킹단체로 추정되는 Lazarus 그룹에서 한국을 대상으로하는 공격 캠페인이 포착되었다.
이번 공격은 지금까지와의 공격과 다르게 사용자의 PC가 아닌 안드로이드 기기를 대상으로 한다는 특이점이 존재한다. TLS 통신의 SNI필드를 거짓으로 작성하여 사용자들에게 혼란을 주며, 여러 단계를 설치를 거쳐 체계적으로 진행된다.

 

확인내역

악의적인 APK가 기기에 설치되면 백도어 ELF파일을 실행하는데 이 파일을 통해 TLS의 SNI필드를 조작한다.
<그림 - 1>에서 보는 것과 같이 정상적인 TLS 통신처럼 보이지만 실제로는 공격자가 의도한 주소로 이동한다.
정상적인 행위와 툴을 통해 차이를 비교하면 다름을 알 수 있다.

<그림 1 - TLS 통신의 SNI필드 Fake (좌-정상, 우-공격패킷)>

 

악의적인 C2서버에 접속 후 추가적인 악성 행위를 수행하기위해 다른 APK파일을 받게 되는데 이 파일에 감염된 기기는 아래와 같은 정보를 유출한다.


-마이크를 통한 녹음
-카메라를 통한 캡처
-로컬 파일 업로드, 실행 및 조작
-원격 파일 다운로드
-GPS 정보 기록
-연락처 정보 조회
-SMS 또는 MMS 메시지 열람
-웹 검색 기록 및 북마크 기록
-WiFi 정보 스캔 및 캡처

 

대응방안

1. 최신 백신으로 치료한다
2. 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

3.당사 IPS장비에서는 아래 패턴으로 대응이 가능하다.

[3883] Win32/Trojan.Lazarus.790528
[3884]Android/Trojan.Lazarus.9760731
[3885]Android/Trojan.Lazarus.21812
[3886]Android/Trojan.Lazarus.302816

 

참고

https://securingtomorrow.mcafee.com/mcafee-labs/android-malware-appears-linked-to-lazarus-cybercrime-group/
https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-cybercrime-group-moves-to-mobile/
http://securityaffairs.co/wordpress/65854/apt/lazarus-apt-android.html
http://www.boannews.com/media/view.asp?idx=58148&mkind=1&kind=1
http://www.boannews.com/media/view.asp?idx=58146&mkind=1&kind=1
https://researchcenter.paloaltonetworks.com/2017/11/unit42-operation-blockbuster-goes-mobile/

 

 

첨부파일 첨부파일이 없습니다.
태그 Lazarus  북한  Blockbuster  Android