군비 통제 관련 기사 바카라사이트 벳페어 위장한 악성코드 주의
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 '군비 통제바카라사이트 벳페어 기사 바카라사이트 벳페어'로 위장한 악성코드가발견되어 이용자들의 주의를 당부드립니다.
이번 악성코드에서는 지난 '남북 회담 인터뷰 기사 바카라사이트 벳페어'에 쓰인 것과 동일한 코드가 사용되었으며, 드롭퍼로서 'C:\Users\(사용자 계정)\AppData\Local\MFAData\event\' 경로에 'errors.dll'바카라사이트 벳페어 파일을 드롭합니다.
[그림 1] 파일 드롭 바카라사이트 벳페어
또한 지난 번과 마찬가지로감염된 사실을 숨기기 위해,군비 통제 관련 기사 내용이 담긴 바카라사이트 벳페어를 드롭한 뒤, 실행합니다.
[그림 2] 군비 통제 내용이 담긴 기사 바카라사이트 벳페어 내용
이용자에게 보여주는 바카라사이트 벳페어에는 러시아어로 작성된 군비 통제와관련된 내용이 담겨져 있지만, 바카라사이트 벳페어 속성은 다음 그림과 같이 제목에 'S. Korea fires warning shots at N. Korea after soldier defection(군인 탈출이후,남한에서 북한을 향해 경고탄을 발사하였다)'로 되어져 있습니다. 즉, 공격자가 바카라사이트 벳페어를 수정하여 사용했음을 나타냅니다.
[그림 3] 남한 바카라사이트 벳페어 내용이 담긴 제목 속성
또한 지난 '남북 회담 기사 바카라사이트 벳페어'와 동일하게만든이는 중국식 이름인 '朱熠锷', 마지막 수정한 사람이 'John'으로 되어져 있습니다.
최종적으로 드롭된 errors.dll은 C&C 서버(checksessionmail.esy.es)에서 받아온 명령에 따라 시스템 정보 전송, 파일 전송, 화면 캡쳐 전송 등의다양한 바카라사이트 벳페어행위를 수행하여 정보 유출 피해가 발생할 수 있습니다.
[그림 4] 명령에 따른 다양한 바카라사이트 벳페어행위
한편 이번 바카라사이트 벳페어에서 발견된 PDB 정보는 다음과 같으며, 지속적으로 변종이 만들어지고 있습니다.
※ 이번에 발견된 PDB 정보
F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(2018.04.04 14:50:28 UTC)
※ 과거에 발견된 PDB 경로 중 일부
F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(TimeStamp : 2018.03.29 07:21:34(UTC))
F:\0_work\planes\2017\0704\Doc7\Release\Doc.pdb(TimeStamp : 2017.07.04 14:22:35(UTC))
└ F:\0_work\planes\2017\0626\virus-load\_Result\virus-dll.pdb(드롭된 DLL)
F:\0_work\planes\2017\0508\Doc7\Release\Doc.pdb(TimeStamp : 2017.05.08 10:54:49(UTC))
└ F:\0_work\planes\2017\0502\virus-load\_Result\virus-dll.pdb(드롭된 DLL)
[표 1] PDB 정보
공격자들은 사회적 트렌드나이슈를 바카라사이트 벳페어에 이용하고 있어, 주의가 필요합니다. 따라서 바카라사이트 벳페어에 감염이 되지 않기 위해서는 검증되지 않은 파일을 실행하기 전, 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.
현재 알약에서 바카라사이트 벳페어 샘플을'Trojan.Fuerboos'로 진단하고 있습니다.