Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향북한 Lazarus그룹의 국내 타겟 비트코인/POS 새로운 공격
작성일 2017-12-29 조회 3632

 

 

 

proofpoint는 지난 19일 새롭게 발견한 라자루스(북한으로 추정되는 해킹 그룹)의 공격 무기 파워라탕크바(PowerRatankba)를 발표했다.
비트코인 관련 업체나 조직들의 고위직 임원이나 관계자를 표적으로 하는 스피어피싱 캠페인을 통해 퍼지고 있다고 한다. 공격의 시작은 6월 30일부터였다.

 

proofpoint는 총 6가지 루트를 이용해 캠패인을 진행중이라고 밝혔다.

 

1. 타이니CC(TinyCC)라는 링크 단축 서비스를 활용한 파워스프리츠(PowerSpritz) 스피어피싱 공격

 

<출처 : https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new >

 

스카이프 업데이트,텔레그램 업데이트 링크로 가장 C&C 서버로 리다이렉트
파워라탕크바(PowerRatankba)를 다운로드 하는 파워스프리츠 악성 파워셸 명령을 복호화해 실행

 

 

2. PDF 문서 윈도우 바로가기 파일(LNK)로 위장한 악성코드

 

<출처 : https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new >

 

바로가기 파일명 : Scanned Document Part 1.pdf.link
타이니URL(TinyURL)이라는 URL 단축 서비스 주소로 연결돼 악성코드 다운로드

 

 

3. 악성 마이크로소프트 컴파일드 HTML 헬프(CHM) 파일

 

<출처 : https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new >

 

파일명

오리엔탈 익스체인지(Oriental Exchange) 블록체인 기술 관련 문서
ICO 플랫폼 관련 문서
팔콘 코인(Falcon Coin) ICO에 관한 문서
암호화폐 거래 플랫폼 개발 관련 문서
이메일 마케팅 툴 개발 관련 문서

VB스크립트 명령어와 BITSAdmin 툴을 사용해 악성 VB스크립트 파일을 다운로드해 C:Windows empPowerOpt.vbs에 저장

 

 

4. C&C를 통해 유포되는 ZIP 자바스크립트 다운로더

 

 

ZIP - PDF 문서들과 기타 파일
파일 이름에는 코인베이스(Coinbase)나 빗썸(Bithumb), 팔콘 코인(Falcon Coin) 등 각종 유명 비트코인 거래소가 포함
Powershell을 이용해 VBS 실행해 악성코드 다운로드

 

 

5. 악성 매크로를 포함한 MS-Office 문서파일

 

<출처 : https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new >

 

이메일을 이용해 사용자에게 유포

이메일 제목 : Phishing Warning
발신자 : xxxxxx@mail.com
파일명
report phishing.doc
Powershell을 이용해 VBS 실행해 악성코드 다운로드

 

 

6. 인기가 높은 암호화폐 관련 애플리케이션에 백도어 심기
암호화폐와 관련된 정상적이고 인기가 높은 웹사이트를 흉내 낸 가짜 웹사이트에서 백도어가 심어진 어플리케이션 유포

 

 


파워라탕크바(PowerRatankba)
라탕크바(Ratankba)라는 스파잉 툴의 변종
BaseInfo HTTP POST를 이용해 자신이 침해한 기기의 상세 정보를 C&C로 보낸다.

컴퓨터 이름, IP 주소, OS 부팅 시간, 설치 날짜, 언어

WHAT HTTP GET이나 WHAT HTTP라는 요청을 통해 C&C로부터 명령을 받는다.

success, killkill, Execute, DownExec 혹은 success, killkill, interval, cmd, cf_sv, rrr, exe/inj 등

피해자 시스템에 오래 머물기 위해 JS 파일을 ‘시작 프로그램’ 폴더에 다운로드
다른 변종은 고스트RAT(Gh0st RAT)이라는 원격 접근 트로이목마를 다운로드

 

<출처 : https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new >


RFC18Gh0st RAT
파워라탕크바(PowerRatankba)이 동작하지 않거나 문제 발생시 사용자 시스템을 제어하기 위해 공격자가 심어놓은 제2의 공격옵션이다.
파워 라탕크바(PowerRatankba)악성코드 변종이 C&C를 통해 추가로 다운로드하는데, 사용자의 암호화 된 비트코인지갑 정보를 탈취하고, POS의 암호화 된 신용카드 정보를 탈취한다.
감염된 시스템은 C&C에 시스템 화면을 전송하고, 공격자는 원격 제어권을 가져 와서 암호로 보호 된 BitCoin 지갑을 포함한 어플리케이션 다수를 제어한다.

 


RatankbaPOS
국내의 특정 POS의 암호화 된 신용카드 정보를 탈취한다.
감염된 POS에 프로세스 인젝션을 통해 악성코드를 설치하고, C&C에 action=need_update 요청을 보내 업데이트 여부를 체크한다.
업데이트된 정보를 바탕으로 설치된 악성코드는 c:windows emplog.tmp에 로그를 기록한다.
악성코드는 암호화 된 신용카드 정보를 탈취하기 위해 시스템의 KSNETADSL.dll파일을 후킹해 입력받는 신용카드 정보를 탈취한다.
탈취된 신용카드 정보는 /list.jsp?action=ip에 POST HTTP로 C&C에 전송된다.

 

 

 


Sniper 제품군 대응 방안

Sniper-IPS

[3939] Win32/PowerRatankba CMD Connection
[3940] Win32/PowerRatankba BaseInfo Connection
[3941] Win32/RatankbaPOS Update Connection
[3942] VBA PowerShell Downloader
[3943] Win32/Backdoor.RFC18Gh0st.InitialConnection

Sniper-UTM

[838861347] Win32/PowerRatankba CMD Connection
[838861348] Win32/PowerRatankba BaseInfo Connection
[838861349] Win32/RatankbaPOS Update Connection
[805374355] VBA PowerShell Downloader
[838861350] Win32/Backdoor.RFC18Gh0st.InitialConnection

Sniper-APTX

[3149] Win32/PowerRatankba CMD Connection
[3150] Win32/PowerRatankba BaseInfo Connection
[3151] Win32/RatankbaPOS Update Connection
[3152] VBA PowerShell Downloader
[3153] Win32/Backdoor.RFC18Gh0st.InitialConnection

 


참조
https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new

첨부파일 첨부파일이 없습니다.
태그   PowerRatankba  RatankbaPOS  RFC18