오퍼레이션 이블플레인(Operation EvilPlane) : 국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격
Contents
오퍼레이션 이블플레인(Operation EvilPlane) : 국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격이 발견되어 사용자들의 각별하나 주의가 필요합니다.
이번에 발견된 공격 파일은 문서(docx) 파일로, 최근 공격자들이 자주 사용하는 원격 템플릿 주입(Remote Template Injection) 기술을 사용하였습니다.
해당 문서 파일은 ‘Paypal’ 이름의 계정에서 22년 12월 6일 19시 26분경 수정된 것으로 확인되며, Remote Template Injection 기술을 사용해 ‘k22012.c1[.]biz/paypal.dotm’에서 악성 매크로가 포함된 dotm 확장자의 템플릿 파일을 다운로드 및 실행합니다.
사용자가 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성화 하면, 사용자에게는 다음과 같은 파일이 보이며 백그라운드에서는 dotm 내 악성 매크로가 활성화 됩니다.
paypal.dotm 파일 내부에는 문서 폰트를 검은색으로 변경하고, ‘5645780.c1.biz’에서 ‘cab’ 확장자의 압축된 추가 페이로드를 다운로드 받으며, 이후 추가로 다운로드 받은 파일의 압축을 해제하고 ‘check.bat’를 실행하는 코드가 포함되어 있습니다.
‘check.bat’에은 다음과 같은 명령어가 포함되어 있습니다.
1) 관리자 권한 확인
2) OS Bit에 따라 각각 wpnprv32/64.dll 실행
wpnprv32/64.dll 모듈은 UAC Bypass 기능을 가진 권한상승 모듈로, check.bat을 통하여 관리자 권한을 확인하고, 만일 현재 사용자가 관리자라면 trap.bat를 바로 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
국내 이용자의 개인정보가 담긴 파일을 이용한 APT 공격이 발견되어 사용자들의 각별하나 주의가 필요합니다.
이번에 발견된 공격 파일은 문서(docx) 파일로, 최근 공격자들이 자주 사용하는 원격 템플릿 주입(Remote Template Injection) 기술을 사용하였습니다.
해당 문서 파일은 ‘Paypal’ 이름의 계정에서 22년 12월 6일 19시 26분경 수정된 것으로 확인되며, Remote Template Injection 기술을 사용해 ‘k22012.c1[.]biz/paypal.dotm’에서 악성 매크로가 포함된 dotm 확장자의 템플릿 파일을 다운로드 및 실행합니다.
사용자가 [콘텐츠 사용] 버튼을 눌러 매크로 기능을 활성화 하면, 사용자에게는 다음과 같은 파일이 보이며 백그라운드에서는 dotm 내 악성 매크로가 활성화 됩니다.
paypal.dotm 파일 내부에는 문서 폰트를 검은색으로 변경하고, ‘5645780.c1.biz’에서 ‘cab’ 확장자의 압축된 추가 페이로드를 다운로드 받으며, 이후 추가로 다운로드 받은 파일의 압축을 해제하고 ‘check.bat’를 실행하는 코드가 포함되어 있습니다.
‘check.bat’에은 다음과 같은 명령어가 포함되어 있습니다.
1) 관리자 권한 확인
2) OS Bit에 따라 각각 wpnprv32/64.dll 실행
wpnprv32/64.dll 모듈은 UAC Bypass 기능을 가진 권한상승 모듈로, check.bat을 통하여 관리자 권한을 확인하고, 만일 현재 사용자가 관리자라면 trap.bat를 바로 …
IoC
http://k22012.c1.biz/paypal.dotm