|
[APT28,Sofacy,FANCYBEAR] 이메일을 통해 유포되는 Trojan 침해사고분석팀 2018.03.07 |
|
|
개요 APT28 로 알려진 Sofacy 그룹 또는 FANCY BEAR 에서 사용하는 형태의 악성코드 이다.
해당 공격은 외교와 관련된 2개의 정부기관을 대상으로 Email로 유포 되었다.
대상을 속이기 위해 방위 및 정부 분야로 잘 알려져 있는 janes 로 위장하였으며, 일정표로 위장한 엑셀파일을 첨부하였다.
엑셀의 매크로를 실행하게 되면, 피해자를 속이기 위해 보이지 않았던 내용이 보이게 되며, 특정 셀에 숨겨져 있는 값을 certutil 명령으로 파일을 생성하고, 악의적인 행위를 시작한다.
C2 서버와 통신을 하여 아래와 같은 정보를 전송한다
- 스토리지 볼륨 일련번호
- 실행중인 프로세스 목록
- 네트워크 인터페이스 카드 정보
- 저장 장치 이름
- 빌드 식별자
- 시스템 스크린 샷
이후에 C2 서버의 응답값에 따라 다양한 악성 행위가 가능하다.
스피어 피싱의 형태로 메일을 통해 유포를 하며 정비기관을 대상으로 공격을 진행하였습니다.
피싱 형태의 공격은 항상 대상자로 하여금 확실하게 파일을 열어보도록 유도하는 것이 중요합니다. 해당 그룹은 "Jane 360" 을 가장하였으며, 엑셀파일에 문제가 있을 시 매크로를 실행하게 하는 자연스러운 방법을 채택하였습니다.
[그림 1. Jane 360 방위 기업]
이메일을 통해 전달 된 엑셀 파일을 확인해보면 2개의 매크로가 작동하는것을 확인 가능 합니다.
[그림 2. 엑셀에서 확인 된 매크로 내역]
[그림 3. 실제 매크로 내역 1]
[그림 4. 실제 매크로 내역 2]
* Auto_Open 을 통해서 문서의 내용이 보이게 됩니다.
* TQuH8wDO 을 통해서 2227 행, FN 열 부터 존재하는 base64 인코딩 된 페이로드를 이용하여 .txt 확장명을 가진 임의의 파일을 C:Programdata 폴더에 생성합니다.
그리고 나서 certutil -decode 명령을 사용하여 txt파일을 디코딩 하고 C:Programdata 폴더에 .exe 확장명을 가진 디코딩 된 파일을 생성합니다.
매크로는 2 초 Sleep 이후에 파일을 실행합니다.
[그림 5. 엑셀에 포함된 base64 인코딩 내역]
[그림 6. C:Programdata 내역]
[그림 7. .txt 임의 파일 내역]
이제 이 실행 파일은 공격의 새로운 페이로드를 설치하고 실행 합니다.
[그림 8. 페이로드 내역]
%LOCALAPPDATA%cdnver.dll
실행파일은 %LOCALAPPDATA%cdnver.bat 배치 파일을 작성합니다.
이 배치파일로 DLL 페이로드가 실행되며, 레지스트리 키에 작성 됩니다.
[그림 9. 실행 중인 악의적인 rundll32.exe 내역]
대응 방안
2) 신뢰하지 못하는 메일의 첨부파일을 다운로드 및 실행하지 않는다.
3) 당사 Sniper 에서는 아래의 패턴으로 대응 가능하다 패턴 블럭 : [4119] Email/Attached.XLS.Trojan
참조 https://researchcenter.paloaltonetworks.com/2018/02/unit42-sofacy-attacks-multiple-government-entities/#Appendix
|
