국내 보안업체의 유효한 디지털서명을 탑재한 악성코드 주의!
Contents
라자루스 APT, 국내 보안업체의 유효한 디지털서명을 탑재한 악성코드 주의!
안녕하세요?
이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다.
2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다.
이번에 포착된 악성코드의 경우, 일단 감염이 이뤄지게 되면 스케쥴러에 Jav Maintenance64라는 이름으로 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치합니다. 공격자는 봇에 감염된 PC에 임의의 추가 악성행위를 수행할 수 있게 됩니다.
이번 악성코드는 국내 보안업체의 디지털서명을 악용한 것이 가장 주목할 만한 부분이라고 할 수 있습니다. 디지털서명이 있는 모듈은 일반적으로 해당업체의 서명이 포함된 위변조되지 않은 무결성을 가진 프로그램이라고 인식하기 때문에 화이트리스트 기반 솔루션 및 보안장비 등을 우회하기에 상대적으로 용이합니다. 공격자들은 이점을 노려 정상적인 보안업체의 디지털서명을 탈취하여 공격에 악용하려 했던 것으로 보여집니다.
[그림1] 악성코드에 탑재된 특정보안업체의 유효한 디지털서명
또한 이번 공격의 경우, 2016년과 2017년에 걸쳐 국내 공공기관/금융기관을 대상으로 APT공격을 수행했던 조직이 사용한 커스텀 암호화 알고리즘을 그대로 사용하고 있는 점이 분석결과 확인되었는데, 보안업체의 정상 디지털서명을 탈취하여 악용한 점까지 고려했을 때, 발견된 악성코드와 악성URL이 대규모 APT캠페인의 초기 단계를 구성하고 …
안녕하세요?
이스트시큐리티 시큐리티 대응센터(이하 ESRC)입니다.
2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다.
이번에 포착된 악성코드의 경우, 일단 감염이 이뤄지게 되면 스케쥴러에 Jav Maintenance64라는 이름으로 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치합니다. 공격자는 봇에 감염된 PC에 임의의 추가 악성행위를 수행할 수 있게 됩니다.
이번 악성코드는 국내 보안업체의 디지털서명을 악용한 것이 가장 주목할 만한 부분이라고 할 수 있습니다. 디지털서명이 있는 모듈은 일반적으로 해당업체의 서명이 포함된 위변조되지 않은 무결성을 가진 프로그램이라고 인식하기 때문에 화이트리스트 기반 솔루션 및 보안장비 등을 우회하기에 상대적으로 용이합니다. 공격자들은 이점을 노려 정상적인 보안업체의 디지털서명을 탈취하여 공격에 악용하려 했던 것으로 보여집니다.
[그림1] 악성코드에 탑재된 특정보안업체의 유효한 디지털서명
또한 이번 공격의 경우, 2016년과 2017년에 걸쳐 국내 공공기관/금융기관을 대상으로 APT공격을 수행했던 조직이 사용한 커스텀 암호화 알고리즘을 그대로 사용하고 있는 점이 분석결과 확인되었는데, 보안업체의 정상 디지털서명을 탈취하여 악용한 점까지 고려했을 때, 발견된 악성코드와 악성URL이 대규모 APT캠페인의 초기 단계를 구성하고 …
IoC
51.254.60.208
8ba860e1340b29439ff5f6e3df98d537
9758efcf96343d0ef83854860195c4b4
e6037a8487b85118532184d397a6eedd
f1af683eba25bb9cdf4fa88176fc6128
http://51.254.60.208
8ba860e1340b29439ff5f6e3df98d537
9758efcf96343d0ef83854860195c4b4
e6037a8487b85118532184d397a6eedd
f1af683eba25bb9cdf4fa88176fc6128
http://51.254.60.208