국내 기업 대상 공격에 사용 중인 Xctdoor 악성코드 (Andariel)
Contents
AhnLab SEcurity intelligence Center(ASEC)은 최근 특정되지 않은 공격자가 국내 ERP 솔루션을 악용하여 공격을 수행하는 정황을 확인하였다. 공격자는 시스템에 침투한 이후 기업 내의 시스템들을 장악하기 위해 국내 특정 ERP 솔루션의 업데이트 서버를 공격한 것으로 추정된다. 또 다른 공격 사례에서는 취약한 웹 서버를 공격하여 악성코드를 유포하였다. 공격 대상이 된 곳은 국내 방산 업체, 제조업 등이 확인된다.
확인된 악성코드들 중에는 기존 ERP 솔루션의 업데이트 프로그램에 악성 루틴이 삽입된 형태가 존재하는데 이러한 방식은 2017년 Andariel 그룹이 HotCroissan 백도어를 설치하기 위해 사용했던 사례와 유사하다. 제작자는 악성코드들을 개발하는 과정에서 Xct라는 문자열을 사용하였으며 여기에서는 최종적으로 사용된 백도어를 Xctdoor로 분류한다.
1. 과거 Andariel 공격 사례
Rifdoor는 Lazarus 그룹의 하위 그룹으로 알려진 Andariel이 사용하는 백도어로서 2015년 11월에 처음 발견되었으며 2016년 초까지 활동이 확인되었다. [1] 이후 2017년부터는 Rifdoor의 변종이 공격에 사용되었는데 이는 2020년 미국의 CISA와 [2] VMware 사의 Carbon Black이 공개한 [3] Lazarus 그룹의 HotCroissant와 동일하다. Carbon Black은 Rifdoor와 HotCroiassant와의 유사성과 차이점을 상세하게 정리하였으며 여기에서는 Rifdoor 변종을 HotCroiassant로 분류한다.
HotCroissant를 이용한 공격 사례들 중에는 …
확인된 악성코드들 중에는 기존 ERP 솔루션의 업데이트 프로그램에 악성 루틴이 삽입된 형태가 존재하는데 이러한 방식은 2017년 Andariel 그룹이 HotCroissan 백도어를 설치하기 위해 사용했던 사례와 유사하다. 제작자는 악성코드들을 개발하는 과정에서 Xct라는 문자열을 사용하였으며 여기에서는 최종적으로 사용된 백도어를 Xctdoor로 분류한다.
1. 과거 Andariel 공격 사례
Rifdoor는 Lazarus 그룹의 하위 그룹으로 알려진 Andariel이 사용하는 백도어로서 2015년 11월에 처음 발견되었으며 2016년 초까지 활동이 확인되었다. [1] 이후 2017년부터는 Rifdoor의 변종이 공격에 사용되었는데 이는 2020년 미국의 CISA와 [2] VMware 사의 Carbon Black이 공개한 [3] Lazarus 그룹의 HotCroissant와 동일하다. Carbon Black은 Rifdoor와 HotCroiassant와의 유사성과 차이점을 상세하게 정리하였으며 여기에서는 Rifdoor 변종을 HotCroiassant로 분류한다.
HotCroissant를 이용한 공격 사례들 중에는 …
IoC
09a5069c9cc87af39bbb6356af2c1a36
11465d02b0d7231730f3c4202b0400b8
195.50.242.110
235e02eba12286e74e886b6c99e46fb7
2e325935b2d1d0a82e63ff2876482956
375f1cc32b6493662a78720c7d905bc3
396bee51c7485c3a0d3b044a9ceb6487
41d5d25de0ca0fdc54c24c484f9f8f55
4f5e5a392b8a3e0cb32320ed1e8d0604
54d5be3a4eb0e31c0ba7cb88f0a8e720
6928fab25ac1255fbd8d6c1046653919
9a580aaaa3e79b6f19a2c70e89b016e3
9bbde4484821335d98b41b44f93276e8
a42ae44761ce3294ce0775fe384d97b6
ab8675b4943bc25a51da66565cfc8ac8
ad96a8f22faab8b9c361cfccc381cd28
b43a7dcfe53a981831ae763a9a5450fd
b96b98dede8a64373b539f94042bdb41
d787a33d76552019becfef0a4af78a11
d852c3d06ef63ea6c6a21b0d1cdf14d4
d938201644aac3421df7a3128aa88a53
e554b1be8bab11e979c75e2c2453bc6a
f24627f46ec64cae7a6fa9ee312c43d7
http://195.50.242.110:8080
http://beebeep.info/index.php
http://www.jikji.pe.kr/xe/files/attach/binaries/102/663/image.gif
11465d02b0d7231730f3c4202b0400b8
195.50.242.110
235e02eba12286e74e886b6c99e46fb7
2e325935b2d1d0a82e63ff2876482956
375f1cc32b6493662a78720c7d905bc3
396bee51c7485c3a0d3b044a9ceb6487
41d5d25de0ca0fdc54c24c484f9f8f55
4f5e5a392b8a3e0cb32320ed1e8d0604
54d5be3a4eb0e31c0ba7cb88f0a8e720
6928fab25ac1255fbd8d6c1046653919
9a580aaaa3e79b6f19a2c70e89b016e3
9bbde4484821335d98b41b44f93276e8
a42ae44761ce3294ce0775fe384d97b6
ab8675b4943bc25a51da66565cfc8ac8
ad96a8f22faab8b9c361cfccc381cd28
b43a7dcfe53a981831ae763a9a5450fd
b96b98dede8a64373b539f94042bdb41
d787a33d76552019becfef0a4af78a11
d852c3d06ef63ea6c6a21b0d1cdf14d4
d938201644aac3421df7a3128aa88a53
e554b1be8bab11e979c75e2c2453bc6a
f24627f46ec64cae7a6fa9ee312c43d7
http://195.50.242.110:8080
http://beebeep.info/index.php
http://www.jikji.pe.kr/xe/files/attach/binaries/102/663/image.gif