메신저 프로그램으로 위장한 악성코드 주의
Contents
메신저 프로그램으로 위장한 악성코드 주의
안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다.
발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다.
그림 1. 피싱 페이지 (1)
그림 2. 피싱 페이지 (2)
그림 3. 공급망 공격
피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치 파일이 다운로드된다. 메신저 설치 파일의 디지털 서명 정보는 정상 파일과 달리 ‘Uclick’으로 적용되어 있다.
그림 4. 다운로드한 메신저 설치 파일
메신저 설치 파일은 다음과 같이 NSIS를 사용하여 제작된 윈도우 운영체제 설치 프로그램이다.
| NSIS(Nullsoft Scriptable Install System) |
|---|
| 널소프트(Nullsoft)사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 |
표 1. 용어 설명 (NSIS)
NSIS를 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘[NSIS].nsi’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는 구조이다.
공격자는 메신저 설치 파일의 스크립트 파일 ‘[NSIS].nsi’을 변조했다.
그림 5. 메신저 설치 파일 구조
변조된 스크립트 파일은 정상 스크립트 파일 맨 마지막 부분에 다음과 같이 함수 ‘.onInit’가 추가된다. 이 함수는 …
안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다.
발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다.
그림 1. 피싱 페이지 (1)
그림 2. 피싱 페이지 (2)
그림 3. 공급망 공격
피싱 페이지에 연결한 사용자가 각 페이지에서 다운로드 버튼을 클릭하면 메신저 설치 파일이 다운로드된다. 메신저 설치 파일의 디지털 서명 정보는 정상 파일과 달리 ‘Uclick’으로 적용되어 있다.
그림 4. 다운로드한 메신저 설치 파일
메신저 설치 파일은 다음과 같이 NSIS를 사용하여 제작된 윈도우 운영체제 설치 프로그램이다.
| NSIS(Nullsoft Scriptable Install System) |
|---|
| 널소프트(Nullsoft)사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 |
표 1. 용어 설명 (NSIS)
NSIS를 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘[NSIS].nsi’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는 구조이다.
공격자는 메신저 설치 파일의 스크립트 파일 ‘[NSIS].nsi’을 변조했다.
그림 5. 메신저 설치 파일 구조
변조된 스크립트 파일은 정상 스크립트 파일 맨 마지막 부분에 다음과 같이 함수 ‘.onInit’가 추가된다. 이 함수는 …
IoC
https://asec.ahnlab.com/ko/19131
http://103.125.216.106:8080
103.125.216.106
http://103.125.216.106:8080
103.125.216.106