Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보또 다시 발견된 APT15 그룹의 Royal 백도어
작성일 2018-03-23 조회 1521

 

개요

2017년 5월 경에 영국 정부 부처 및 군사 관련 기술을 목표로하는 APT15그룹의 활동이 있었습니다. 
최근에 그 때에 사용했던 것으로 보이는 백도어의 진화된 형태인 RoyalCli 및 RoyalDNS가 발견되었습니다.

 

확인내역

감염이 된 PC는 <그림 -1>과 같이 News[].memozilla[.]org와 접속을 시도합니다. 
그 후 RoyalCli 백도어는 COM 인터페이스인 IWebBrowser2를 사용하여 Internet Explorer 통해 공격자의 C2와 통신합니다.

 

<그림 - 1 > RoyalCli 백도어가 접속을 시도하는 URL

 

 기능을 수행하기 위해 Microsoft .NET으로 작성된 spwebmember도구를 사용하는데 spwebmember는 네트워크 검색, WinRAR, Microsoft SharePoint 및 데이터 덤핑 기능이 존재합니다.
 그리고 유명한 도구인 Mimikatz를 사용하여 자격 증명을 덤프하고 Kerberos 황금 티켓을 생성하기도 합니다
이 밖에도 SQL SharePoint DB에 연결하고 데이터베이스의 모든 데이터를 'spdata'라는 임시 파일에 덤프하며 키로거와 자체 .NET 도구를 사용하여 Microsoft Exchange 사서함에서 데이터를 탈취하기도 합니다.

 

대응방안

당사 Sniper 장비에서는 아래와 같은 패턴으로 대응이 가능

[4162] Win32/Trojan.Royal.12800
[4163] Win32/Trojan.Royal.12800.A

 

참고

https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/march/apt15-is-alive-and-strong-an-analysis-of-royalcli-and-royaldns/
https://github.com/nccgroup/Royal_APT

 

 

 

첨부파일 첨부파일이 없습니다.
태그 Royal  APT15  Trojan