국내 자산 관리 솔루션을 악용하여 공격 중인 Andariel 그룹 (MeshAgent)
Contents
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Andariel 그룹이 국내 기업들을 대상으로 지속적인 공격을 수행 중인 것을 확인하였다. 이번에 확인된 공격의 특징이라고 한다면 공격 과정에서 MeshAgent를 설치한 사례가 확인되었다는 점이다. MeshAgent는 원격 관리 도구로서 원격 제어를 위한 다양한 기능들을 제공하기 때문에 다른 원격 관리 도구들처럼 공격자들이 악용하는 사례들이 자주 확인된다.
공격자는 이전 사례들처럼 국내 자산 관리 솔루션들을 악용해 악성코드를 설치하였으며 대표적으로 AndarLoader, ModeLoader가 있다. 참고로 Andariel 그룹은 과거 Innorix Agent부터 시작해 측면 이동 과정에서 악성코드를 유포하기 위해 국내 업체의 자산 관리 솔루션들을 지속적으로 악용하고 있다. [1] [2]
1. AndarLoader
ASEC에서는 과거 ASEC 블로그 “Andariel 그룹의 새로운 공격 활동 분석”에서 AndarLoader 악성코드를 소개한 바 있다. [3] AndarLoader는 Innorix Agent를 악용한 공격 사례에서 확인된 Andardoor와 유사하지만 C&C 서버로부터 공격자의 명령을 수행하는 대부분의 백도어 기능들이 바이너리에 구현된 Andardoor와 달리 C&C 서버로부터 닷넷 어셈블리와 같이 실행 가능한 데이터를 다운로드해 메모리 상에서 실행하는 다운로더 악성코드이다.
|명령||기능|
|alibaba||다운로드한 닷넷 어셈블리 실행|
|다운로드한 닷넷 메쏘드 실행|
|exit||종료|
|vanish||자가 삭제 및 종료|
이번에 확인된 AndarLoader는 Dotfuscator 도구로 난독화되었던 과거 …
공격자는 이전 사례들처럼 국내 자산 관리 솔루션들을 악용해 악성코드를 설치하였으며 대표적으로 AndarLoader, ModeLoader가 있다. 참고로 Andariel 그룹은 과거 Innorix Agent부터 시작해 측면 이동 과정에서 악성코드를 유포하기 위해 국내 업체의 자산 관리 솔루션들을 지속적으로 악용하고 있다. [1] [2]
1. AndarLoader
ASEC에서는 과거 ASEC 블로그 “Andariel 그룹의 새로운 공격 활동 분석”에서 AndarLoader 악성코드를 소개한 바 있다. [3] AndarLoader는 Innorix Agent를 악용한 공격 사례에서 확인된 Andardoor와 유사하지만 C&C 서버로부터 공격자의 명령을 수행하는 대부분의 백도어 기능들이 바이너리에 구현된 Andardoor와 달리 C&C 서버로부터 닷넷 어셈블리와 같이 실행 가능한 데이터를 다운로드해 메모리 상에서 실행하는 다운로더 악성코드이다.
|명령||기능|
|alibaba||다운로드한 닷넷 어셈블리 실행|
|다운로드한 닷넷 메쏘드 실행|
|exit||종료|
|vanish||자가 삭제 및 종료|
이번에 확인된 AndarLoader는 Dotfuscator 도구로 난독화되었던 과거 …
IoC
29efd64dd3c7fe1e2b022b7ad73a1ba5
2c69c4786ce663e58a3cc093c6d5b530
4f1b1124e34894398aa423200a8ab894
84.38.129.21
a714b928bbc7cd480fed85e379966f95
http://84.38.129.21
http://panda.ourhome.o-r.kr/modeRead.php
http://panda.ourhome.o-r.kr/modeView.php
http://panda.ourhome.o-r.kr/view.php
http://privacy.hopto.org:443
http://privatemake.bounceme.net:443
http://www.ipservice.kro.kr/index.php
http://www.ipservice.kro.kr/modeRead.php
http://www.ipservice.kro.kr/view.php
http://www.mssrv.kro.kr/modeRead.php
http://www.mssrv.kro.kr/modeView.php
http://www.mssrv.kro.kr/modeWrite.php
http://www.mssrv.kro.kr/view.php
2c69c4786ce663e58a3cc093c6d5b530
4f1b1124e34894398aa423200a8ab894
84.38.129.21
a714b928bbc7cd480fed85e379966f95
http://84.38.129.21
http://panda.ourhome.o-r.kr/modeRead.php
http://panda.ourhome.o-r.kr/modeView.php
http://panda.ourhome.o-r.kr/view.php
http://privacy.hopto.org:443
http://privatemake.bounceme.net:443
http://www.ipservice.kro.kr/index.php
http://www.ipservice.kro.kr/modeRead.php
http://www.ipservice.kro.kr/view.php
http://www.mssrv.kro.kr/modeRead.php
http://www.mssrv.kro.kr/modeView.php
http://www.mssrv.kro.kr/modeWrite.php
http://www.mssrv.kro.kr/view.php