본문 바로가기

오퍼레이션 이블플레인(Operation EvilPlane) : 국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격

사설 바카라공지 2022-12-08


사설 바카라

국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격이 발견되어 사설 바카라들의 각별하나 주의가 필요합니다.

이번에 발견된 공격 파일은 문서(docx) 파일로, 최근 공격자들이 자주 사용하는 원격 템플릿 주입(Remote Template Injection) 기술을 사용하였습니다.

사설 바카라
[그림 1] 악성 워드 파일

해당 문서 파일은 ‘Paypal’ 이름의 계정에서 22년 12월 6일 19시 26분경 수정된 것으로 확인되며, Remote Template Injection 기술을 사용해 ‘k22012.c1[.]biz/paypal.dotm’에서 악성 매크로가 포함된 dotm 확장자의 템플릿 파일을 다운로드 및 실행합니다.

사설 바카라
[그림 2] 자동으로 다운로드 되는 dotm 파일

사설 바카라가 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성화 하면, 사설 바카라에게는 다음과 같은 파일이 보이며 백그라운드에서는dotm 내 악성 매크로가 활성화 됩니다.

[그림 3] 매크로 실행 후 보여지는 워드파일

paypal.dotm 파일 내부에는 문서 폰트를 검은색으로 변경하고, ‘5645780.c1.biz’에서 ‘cab’ 확장자의 압축된 추가 페이로드를 다운로드 받으며, 이후 추가로 다운로드 받은 파일의 압축을 해제하고 ‘check.bat’를 실행하는 코드가 포함되어 있습니다.

[그림 4] paypal.dotm 내 매크로 코드

[그림 5] C&C에서 다운받은 cab 파일 내용

‘check.bat’에은 다음과 같은 명령어가 포함되어 있습니다.

1) 관리자 권한 확인

2) OS Bit에 따라 각각 wpnprv32/64.dll 실행

wpnprv32/64.dll모듈은UAC Bypass 기능을 가진권한상승 모듈로, check.bat을 통하여 관리자 권한을 확인하고, 만일 현재 사설 바카라가 관리자라면 trap.bat를 바로 실행하며, 사설 바카라라면 wpnprv32/64.dll모듈을 통하여 권한상승 후관리자 권한으로 ‘trap.bat’를배치스크립트를추가로실행합니다.

UAC Bypass란

사용자 계정 컨트롤(User Account Control)이란 윈도우에서 제공하는 사설 바카라기능으로, 권한이 없는 프로그램이 바로 실행되지 않도록 사용자에게 실행여부를 묻는 기능이다. 악성코드들은 레지스트리 변경 등 다양한 악성행위를 하기 위하여 관리자 권한을 필요로 하는 작업을 시도하는데, 이때 사용자가 인지하지 못하도록 UAC Bypass기법을 사용한다.

[그림 6] check.bat 배치 스크립트 코드

관리자 권한으로 실행되는 ‘trap.bat’에서는윈도우폴더에OS비트별로‘rdssvc.dll’,‘rdssvc.dat’이름으로복사하고서비스로실행합니다.

[그림 7] trap.bat 코드

[그림 8] 배치 스크립트로부터 생성된 서비스(Remote database Service Update)

최종적으로실행되는‘rdssvc.dll’페이로드는C&C(4895750.c1.biz)와통신을통해PC정보업로드및명령제어기능을수행하는기능을수행합니다.

[그림 9] 페이로드 코드 일부

[그림 10] 페이로드 내 문자열 복호화 결과 화면

ESRC는 여러 지표들을 분석한 결과 이번 공격 배후에는 북한 정찰총국이 배후에 있는 코니(Konni) 조직의 소행으로 결론지었습니다.

본문 텍스트 색깔을 변경하여 사설 바카라 호기심을 유발하여 매크로 실행을 유도하는 방식은 이미 코니 조직이 오래전부터 즐겨 사용하는 공격 방식이며, wpnprv32/64.dll 모듈을 이용한 UAC Bypass 기법도 최근 Konni 공격에서 발견된 공격기법 중 하나입니다.

Konni는 2017년에서 악성코드 Konni로 처음 공개되었으며, 이후 사설 바카라업계에서 점차 APT 그룹으로 인식되며 APT 그룹명으로 사용되고 있습니다.

현재 알약에서는Trojan.Downloader.DOC.Gen,Trojan.Agent.489575A로 탐지중에 있습니다.

해당 공격은 ‘EvilPlane’라는 캠페인 이름으로 명명되어 있으며에서 관련내용을 확인하실 수 있습니다.