lazarusholic

2022-05-02, SecuI
https://stic.secui.com/main/main/threatInfo?id=1

개요

STIC 위협분석팀은 북한 배후의 APT 그룹의 국내 정보탈취 공격을 확인했다. 2021년부터 동일한 방식으로 이어져 오던 국내 주요 안보기관 대상 공격 활동이 추가로 발견된 것이다.



분석

Stage1. vba macro 실행
공격자는 “[붙임] 프로필 양식.doc”이란 이름의 Microsoft Word 문서에 암호를 설정하고 이메일로 공격 대상자에게 유포했다. 문서를 실행하면 사진, 이름, 소속, 직위, 휴대폰번호, 주요 경력 소개 내용을 작성하는 표가 본문에 포함되어 있는 것을 확인할 수 있다. 그리고 매크로가 포함되어 있어 매크로 실행 여부를 선택하는 “콘텐츠 사용” 버튼이 상단에 나타난다.


[그림 1] 문서 실행 화면



“콘텐츠 사용” 버튼을 누르면 매크로 함수 Document_Open()를 시작으로 악성 매크로가 동작되고 powershell 명령이 실행된다. 이때 최초로 C2 서버와 통신을 해 추가적인 powershell 스크립트를 내려받고 해당 스크립트를 실행한다.


[그림 2] powershell 명령을 실행하는 매크로 코드



Stage2. powershell script 실행

추가로 다운로드 된 powershell 스크립트는 감염 시스템의 정보를 수집해 파일로 저장하고 공격자의 서버로 유출하는 역할을 한다. 그리고 추가 명령을 내려받아 백그라운드에서 또다른 작업 수행이 가능하도록 한다.

최초 실행 시 시스템에 레지스트리 값을 추가하는데, 해당 레지스트리 키가 이미 …

7a9d43c263347243fd67cc59ee8e7194cc49e01c1c0d256371c993d5117fad26
9a54b0adff7424a02edfe7c365b6a699c006163a23f7abe901ea3395d2ec913b
http://uekaf.myartsonline.com
http://uekaf.myartsonline.com/ha/del.php?filename=nn
http://uekaf.myartsonline.com/ha/nn.down
http://uekaf.myartsonline.com/ha/nn.txt
http://uekaf.myartsonline.com/ha/post.php