탈륨 조직, 사설 주식 투자 메신저 악용해 소프트웨어 공급망 공격 수행
Contents
탈륨 조직, 사설 주식 투자 메신저 악용해 소프트웨어 공급망 공격 수행
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
북한 연계 해킹조직으로 알려진 탈륨이 최근 사설 주식 투자 메신저 프로그램을 변조해 공급망 공격을 수행한 것이 발견됐습니다. 탈륨 조직은 최근까지 '블루 에스티메이트(Blue Estimate)' 등 주로 (스피어) 피싱 공격을 주로 사용합니다.
물론 과거에도 공급망 공격을 수행한 경우가 존재하는데, 2020년 10월 16일 '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례가 있습니다.
메신저 프로그램은 NSIS(Nullsoft Scriptable Install System) 설치 프로그램 형태로 제작됐습니다. NSIS는 스크립트 기반으로 동작하는 윈도용 설치(Installer) 시스템으로, 윈앰프를 만든 것으로 알려져 있는 널소프트가 제공하는 설치 프로그램 제작 도구입니다.
이번에 발견된 유형은 2가지로 'wmic.exe' 명령을 통해 특정 FTP 서버로 접속해 추가 명령어 파일을 다운로드 합니다. 여기서 사용하는 것은 'XSL Script Processing' 기법입니다.
추가로 받아지는 파일은 VBS 명령어 기반으로 실행되며, %ProgramData% 하위 폴더에 'OracleCache', PackageUninstall', 'USODrive' 등을 생성합니다. 그리고 'frog.smtper[.]co' 서버로 접속해 추가 명령을 수행합니다.
그리고 작업 스케줄러에 'Office365__' 라이브러리를 등록하고 하위에 [Windows\Office] 경로에 'activate' 이름으로 15분 간격으로 반복실행하는 트리거를 설정합니다.
여기서 사용되는 …
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.
북한 연계 해킹조직으로 알려진 탈륨이 최근 사설 주식 투자 메신저 프로그램을 변조해 공급망 공격을 수행한 것이 발견됐습니다. 탈륨 조직은 최근까지 '블루 에스티메이트(Blue Estimate)' 등 주로 (스피어) 피싱 공격을 주로 사용합니다.
물론 과거에도 공급망 공격을 수행한 경우가 존재하는데, 2020년 10월 16일 '탈륨조직의 국내 암호화폐 지갑 펌웨어로 위장한 다차원 APT 공격 분석' 사례가 있습니다.
메신저 프로그램은 NSIS(Nullsoft Scriptable Install System) 설치 프로그램 형태로 제작됐습니다. NSIS는 스크립트 기반으로 동작하는 윈도용 설치(Installer) 시스템으로, 윈앰프를 만든 것으로 알려져 있는 널소프트가 제공하는 설치 프로그램 제작 도구입니다.
이번에 발견된 유형은 2가지로 'wmic.exe' 명령을 통해 특정 FTP 서버로 접속해 추가 명령어 파일을 다운로드 합니다. 여기서 사용하는 것은 'XSL Script Processing' 기법입니다.
추가로 받아지는 파일은 VBS 명령어 기반으로 실행되며, %ProgramData% 하위 폴더에 'OracleCache', PackageUninstall', 'USODrive' 등을 생성합니다. 그리고 'frog.smtper[.]co' 서버로 접속해 추가 명령을 수행합니다.
그리고 작업 스케줄러에 'Office365__' 라이브러리를 등록하고 하위에 [Windows\Office] 경로에 'activate' 이름으로 15분 간격으로 반복실행하는 트리거를 설정합니다.
여기서 사용되는 …
IoC
http://frog.smtper.co
http://frog.smtper.co/frog/
http://frog.smtper.co/frog/