탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석
Contents
탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
지난 08월 10일 구글 플레이 공식 마켓을 통해 안드로이드 기반 악성 암호화폐 지갑 앱(v1.0.4)이 일정기간 유포되었습니다. 이는 정상적인 소프트웨어 배포 절차에 위협요소를 추가 업데이트하는 일종의 공급망 공격 형태 입니다.
이 사건으로 인해 특정 암호화폐 이용자들의 코인이 무단 출금되는 피해가 다수 보고되었습니다.
한편 비슷한 시기 윈도우 운영체제 기반 지갑 설치 프로그램으로 사칭한 악성 파일 변종들도 발견되며, 관련 이슈에 대한 공지문이 다음과 같이 게시됩니다.
08월 31일부터 윈도우용 악성 파일도 유포되었고, 09월 24일에는 공격자가 직접 이메일로 악성 파일을 전파하는 등 공격은 일정 기간 지속되었습니다. 특히, 08월 31일 유포된 악성 파일은 구글 바이러스 토탈에 검색된 이력이 하기와 같이 존재합니다.
[그림 1] 코인 무단 출금 이슈 공지 화면
▷ [구글 바이러스토탈 이력]
https://www.virustotal.com/gui/file/7fa4d0985ab3815937955768756e954d33a26c2c230399bbf0a547495764f11e/relations
https://www.virustotal.com/gui/url/0d93df9863f04a11e7acea7d0c50e3d1b37ae71d72ebfd9a3db4195297c148fa/detection
https://www.virustotal.com/gui/url/0d93df9863f04a11e7acea7d0c50e3d1b37ae71d72ebfd9a3db4195297c148fa/relations
◇ 공급망과 다차원을 활용한 교묘한 APT 공격
우선 윈도우용 악성파일에 대해 살펴보면 다음과 같습니다.
변종에 따라 조금 씩 달라지긴 하지만, 공격자는 대체로 동일한 수법으로 정상 파일을 변조했습니다.
마치 공식 배포되는 지갑 설치프로그램이나 펌웨어 업데이트 프로그램처럼 위장했지만, 내부에 포함된 파일들의 설정을 …
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
지난 08월 10일 구글 플레이 공식 마켓을 통해 안드로이드 기반 악성 암호화폐 지갑 앱(v1.0.4)이 일정기간 유포되었습니다. 이는 정상적인 소프트웨어 배포 절차에 위협요소를 추가 업데이트하는 일종의 공급망 공격 형태 입니다.
이 사건으로 인해 특정 암호화폐 이용자들의 코인이 무단 출금되는 피해가 다수 보고되었습니다.
한편 비슷한 시기 윈도우 운영체제 기반 지갑 설치 프로그램으로 사칭한 악성 파일 변종들도 발견되며, 관련 이슈에 대한 공지문이 다음과 같이 게시됩니다.
08월 31일부터 윈도우용 악성 파일도 유포되었고, 09월 24일에는 공격자가 직접 이메일로 악성 파일을 전파하는 등 공격은 일정 기간 지속되었습니다. 특히, 08월 31일 유포된 악성 파일은 구글 바이러스 토탈에 검색된 이력이 하기와 같이 존재합니다.
[그림 1] 코인 무단 출금 이슈 공지 화면
▷ [구글 바이러스토탈 이력]
https://www.virustotal.com/gui/file/7fa4d0985ab3815937955768756e954d33a26c2c230399bbf0a547495764f11e/relations
https://www.virustotal.com/gui/url/0d93df9863f04a11e7acea7d0c50e3d1b37ae71d72ebfd9a3db4195297c148fa/detection
https://www.virustotal.com/gui/url/0d93df9863f04a11e7acea7d0c50e3d1b37ae71d72ebfd9a3db4195297c148fa/relations
◇ 공급망과 다차원을 활용한 교묘한 APT 공격
우선 윈도우용 악성파일에 대해 살펴보면 다음과 같습니다.
변종에 따라 조금 씩 달라지긴 하지만, 공격자는 대체로 동일한 수법으로 정상 파일을 변조했습니다.
마치 공식 배포되는 지갑 설치프로그램이나 펌웨어 업데이트 프로그램처럼 위장했지만, 내부에 포함된 파일들의 설정을 …
IoC
0d93df9863f04a11e7acea7d0c50e3d1b37ae71d72ebfd9a3db4195297c148fa
44.227.65.245
44.227.76.166
7fa4d0985ab3815937955768756e954d33a26c2c230399bbf0a547495764f11e
[email protected]
http://hdactech.info
http://kasse-v1.hdac-wallet.com
http://kasse.hdac-tech.com
http://update.hdac-tech.com
http://wallet.hdac-tech.com
44.227.65.245
44.227.76.166
7fa4d0985ab3815937955768756e954d33a26c2c230399bbf0a547495764f11e
[email protected]
http://hdactech.info
http://kasse-v1.hdac-wallet.com
http://kasse.hdac-tech.com
http://update.hdac-tech.com
http://wallet.hdac-tech.com