INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드
Contents
안랩 ASEC 분석팀은 2022년 1분기에 방산 업체를 포함한 약 47개의 기업 및 기관이 라자루스 그룹에서 유포 중인 악성코드에 감염되고 있는 정황을 파악하고, 이를 심각하게 판단해 모니터링 하고 있다.
피해 업체들에서는 INITECH사 프로세스(inisafecrosswebexsvc.exe)에 의해 악성 행위가 발생되는 것이 확인됐다.
피해 시스템에서 inisafecrosswebexsvc.exe에 대해 다음과 같은 내용을 우선 확인했다.
inisafecrosswebexsvc.exe 파일은
- INITECH사의 보안 프로그램인 INISAFE CrossWeb EX V3의 실행 파일이다.
- 정상 파일과 같은 해시값을 가진다. (MD5:4541efd1c54b53a3d11532cb885b2202)
- INITECH사에 의해 정상 서명된 파일이다.
- INISAFE Web EX Client로 침해 시점 이전부터 시스템에 설치되어 있었으며, 변조의 흔적 또한 발견되지 않았다.
- 시스템 부팅 시 iniclientsvc_x64.exe에 의해 실행되는데, 침해 당일에도 같은 방식으로 실행됐다.
확인된 inisafecrosswebexsvc.exe 파일은 변조되지 않은 정상 파일이며, 당시 프로세스 실행 이력과, 악성코드인 SCSKAppLink.dll의 코드를 확인한 결과 SCSKAppLink.dll이 inisafecrosswebexsvc.exe에 인젝션돼 동작한 것으로 파악됐다.
SCSKAppLink.dll에는 인젝션된 호스트 프로세스에 따라 분기하는 코드가 포함돼 있다. 분기 코드에는 inisafecrosswebexsvc.exe 프로세스에 인젝션되어 동작하는 경우 hxxps://materic.or.kr/include/main/main_top.asp?prd_fld=racket에 접속해 추가 악성코드를 다운로드하고 실행하도록 작성되어 있다.
그외 나머지 분기에는 svchost.exe, rundll32.exe, notepad.exe 에 인젝션 여부를 판단하도록 돼있으나, 해당 분기문에는 실행 코드가 …
피해 업체들에서는 INITECH사 프로세스(inisafecrosswebexsvc.exe)에 의해 악성 행위가 발생되는 것이 확인됐다.
피해 시스템에서 inisafecrosswebexsvc.exe에 대해 다음과 같은 내용을 우선 확인했다.
inisafecrosswebexsvc.exe 파일은
- INITECH사의 보안 프로그램인 INISAFE CrossWeb EX V3의 실행 파일이다.
- 정상 파일과 같은 해시값을 가진다. (MD5:4541efd1c54b53a3d11532cb885b2202)
- INITECH사에 의해 정상 서명된 파일이다.
- INISAFE Web EX Client로 침해 시점 이전부터 시스템에 설치되어 있었으며, 변조의 흔적 또한 발견되지 않았다.
- 시스템 부팅 시 iniclientsvc_x64.exe에 의해 실행되는데, 침해 당일에도 같은 방식으로 실행됐다.
확인된 inisafecrosswebexsvc.exe 파일은 변조되지 않은 정상 파일이며, 당시 프로세스 실행 이력과, 악성코드인 SCSKAppLink.dll의 코드를 확인한 결과 SCSKAppLink.dll이 inisafecrosswebexsvc.exe에 인젝션돼 동작한 것으로 파악됐다.
SCSKAppLink.dll에는 인젝션된 호스트 프로세스에 따라 분기하는 코드가 포함돼 있다. 분기 코드에는 inisafecrosswebexsvc.exe 프로세스에 인젝션되어 동작하는 경우 hxxps://materic.or.kr/include/main/main_top.asp?prd_fld=racket에 접속해 추가 악성코드를 다운로드하고 실행하도록 작성되어 있다.
그외 나머지 분기에는 svchost.exe, rundll32.exe, notepad.exe 에 인젝션 여부를 판단하도록 돼있으나, 해당 분기문에는 실행 코드가 …
IoC
0775D753AEAEBC1CFF491E42C8950EC0
0AC90C7AD1BE57F705E3C42380CBCCCD
0F994F841C54702DE0277F19B1AC8C77
196FE14B4EC963BA98BBAF4A23A47AEF
1E7D604FADD7D481DFADB66B9313865D
2EF844ED5DCB9B8B38EBDE3B1E2A450C
39457097686668A2F937818A62560FE7
3D7E3781BD0B89BA88C08AA443B11FE5
3ECD26BACD9DD73819908CBA972DB66B
4541efd1c54b53a3d11532cb885b2202
4B96D9CA051FC68518B5A21A35F001D0
4E2DFD387ADDEE4DE615A57A2008CFC6
5349C845499A6387823FF823FCCAA229
570F65824F055DE16EF1C392E2E4503A
683713A93337F343149A5B3836475C5D
6929CAA7831AE2600410BC5664F692B3
6A240B2EDC1CA2B652DBED44B27CB05F
7188F827D8106F563980B3CCF5558C23
7607EF6426F659042D3F1FFBFEA13E6A
7870DECBC7578DA1656D1D1FF992313C
7BF6B3CD3B3034ABB0967975E56F0A4B
81E922198D00BE3E6D41DCE773C6A7FB
878AD11012A2E965EA845311FB1B059F
8FCDF6506CA05EFAFC5AF35E0F09B341
933B640D26E397122CE8DE9293705D71
A329AC7215369469D72B93C1BAC1C3C4
A8B90B2DD98C4FDD4AE84A075A5A9473
ADF0D4BBEFCCF342493E02538155E611
B213063F28E308ADADF63D3B506E794E
B3E03A41CED8C8BAA56B8B78F1D55C22
B5EAEC8CE02D684BAA3646F39E8BC9B5
B85FDE972EE618A225BFBA1CEF369CC8
B91D1A5CC4A1DE0493C1A9A9727DB6F9
B974BC9E6F375F301AE2F75D1E8B6783
BB9F5141C53E74C9D80DCE1C1A2A13F0
C99D5E7EDBA670515B7B8A4A32986149
CB5401C760B89D80657FC0EFC605AE62
D3BFA72CC8F6F8D3D822395DBC8CD8B8
D57F8CD2F49E34BEDA94B0F90426F7B3
D9BC5EDCE4B1C4A941B0BF8E3FAC3EA8
DD3710ABFACDF381801BB11CF142BD29
DD759642659D7B2C7FD365CBEFF4942E
E04206BA707DE4CDE94EFEDA6752D0CA
E6265DCCFDEF1D1AA134AEC6236734F8
E84404DED7096CD42EF39847DE002361
E8D7EAF96B3E5AEE219013C55682968C
EC99EBB78857211EB52EB84750D070E7
F15FD25A4C6E94E2202090BBB82EBC39
F48369111F2FAABB0CCB5D1D90491E0E
http://www.h-cube.co.kr/main/image/gellery/gallery.asp
https://materic.or.kr/include/main/main_top.asp?prd_fld=racket
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical
https://www.gaonwell.com/data/base/mail/login.asp
https://www.materic.or.kr/include/main/main_top.asp
https://www.namchoncc.co.kr/include/?ind=55
https://www.okkids.kr/html/program/display/?re=32
https://www.shoppingbagsdirect.com/media/images/?ui=t
0AC90C7AD1BE57F705E3C42380CBCCCD
0F994F841C54702DE0277F19B1AC8C77
196FE14B4EC963BA98BBAF4A23A47AEF
1E7D604FADD7D481DFADB66B9313865D
2EF844ED5DCB9B8B38EBDE3B1E2A450C
39457097686668A2F937818A62560FE7
3D7E3781BD0B89BA88C08AA443B11FE5
3ECD26BACD9DD73819908CBA972DB66B
4541efd1c54b53a3d11532cb885b2202
4B96D9CA051FC68518B5A21A35F001D0
4E2DFD387ADDEE4DE615A57A2008CFC6
5349C845499A6387823FF823FCCAA229
570F65824F055DE16EF1C392E2E4503A
683713A93337F343149A5B3836475C5D
6929CAA7831AE2600410BC5664F692B3
6A240B2EDC1CA2B652DBED44B27CB05F
7188F827D8106F563980B3CCF5558C23
7607EF6426F659042D3F1FFBFEA13E6A
7870DECBC7578DA1656D1D1FF992313C
7BF6B3CD3B3034ABB0967975E56F0A4B
81E922198D00BE3E6D41DCE773C6A7FB
878AD11012A2E965EA845311FB1B059F
8FCDF6506CA05EFAFC5AF35E0F09B341
933B640D26E397122CE8DE9293705D71
A329AC7215369469D72B93C1BAC1C3C4
A8B90B2DD98C4FDD4AE84A075A5A9473
ADF0D4BBEFCCF342493E02538155E611
B213063F28E308ADADF63D3B506E794E
B3E03A41CED8C8BAA56B8B78F1D55C22
B5EAEC8CE02D684BAA3646F39E8BC9B5
B85FDE972EE618A225BFBA1CEF369CC8
B91D1A5CC4A1DE0493C1A9A9727DB6F9
B974BC9E6F375F301AE2F75D1E8B6783
BB9F5141C53E74C9D80DCE1C1A2A13F0
C99D5E7EDBA670515B7B8A4A32986149
CB5401C760B89D80657FC0EFC605AE62
D3BFA72CC8F6F8D3D822395DBC8CD8B8
D57F8CD2F49E34BEDA94B0F90426F7B3
D9BC5EDCE4B1C4A941B0BF8E3FAC3EA8
DD3710ABFACDF381801BB11CF142BD29
DD759642659D7B2C7FD365CBEFF4942E
E04206BA707DE4CDE94EFEDA6752D0CA
E6265DCCFDEF1D1AA134AEC6236734F8
E84404DED7096CD42EF39847DE002361
E8D7EAF96B3E5AEE219013C55682968C
EC99EBB78857211EB52EB84750D070E7
F15FD25A4C6E94E2202090BBB82EBC39
F48369111F2FAABB0CCB5D1D90491E0E
http://www.h-cube.co.kr/main/image/gellery/gallery.asp
https://materic.or.kr/include/main/main_top.asp?prd_fld=racket
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical
https://www.gaonwell.com/data/base/mail/login.asp
https://www.materic.or.kr/include/main/main_top.asp
https://www.namchoncc.co.kr/include/?ind=55
https://www.okkids.kr/html/program/display/?re=32
https://www.shoppingbagsdirect.com/media/images/?ui=t