본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

라자루스(Lazarus) 그룹, 한국 증권사 직원을 노린 APT 바카라 꽁 머니 시도

보안공지 2020-05-28

바카라 꽁 머니




지난 05월 22일 부동산 및 대기업 주식매매 관련 내용을 담은스피어 피싱(Spear Phishing) 공격이 진행되었습니다.


해당 바카라 꽁 머니은 20개의 HWP, XLSX, JPEG 파일 등이 이메일에 직접 첨부되어 있고, 별도로 9개의 파일은대용량 첨부파일 형태로 추가되어 있습니다.


바카라 꽁 머니자는 다수의 파일을 첨부해수신자를 현혹하는데 이용했으며, 첫번째 보이는 '※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp'문서 파일에 악성코드를 삽입해 두었습니다.


ESRC는 이번 바카라 꽁 머니이 특정 정부와 연계된 것으로 알려져 있는 일명 '라자루스(Lazarus)' APT 조직이 배후에 있는 것으로 분석했습니다.


라자루스 조직은 최근까지 국내에서 비트코인을 거래하는 여러 관계자를 주요 표적삼아 바카라 꽁 머니을 일삼고 있었는데, 이번 바카라 꽁 머니은한국내 증권사 직원을 겨냥한 정황이확인되었습니다.



바카라 꽁 머니

[그림 1] 스피어 피싱 이메일 화면



첨부되어 있던 악성 HWP 문서 파일이 실행되면 다음과 같은 화면을 보여주지만, 내부에 포함되어 있는 악성 포스트스크립트(PostScript)가 작동하게 됩니다.



바카라 꽁 머니

[그림 2] 악성 HWP 문서파일이 실행된 화면



악성 문서 내부에는 'BIN0001.ps' 데이터가 포함되어 있고, 내부에는 쉘코드가 작동되도록 만들어져 있습니다.



[그림 3] 포스트스크립트 쉘코드 화면



쉘코드는 'security.vbs' 파일을 생성하고, C2 주소로 접속해 추가 악성파일을 다운로드해 설치하는 과정을 진행합니다.



%appdata%\Microsoft\Internet Explorer\security.vbs

ㄴhttps://sixbitsmedia[.]com/wp-content/uploads/wp-logs/category.php?uid=0



[그림 4] 쉘코드 화면



추가로 다운로드되는 파일은 마치 PNG 이미지처럼 위장하고 있지만, Base64로 인코딩된 파일입니다.



[그림 5] Base64 인코딩 화면



디코딩 과정을 거친 후에 32비트 DLL 파일이 생성되고, 파일의 타임스탬프 기준의 제작시점은 2020년 05월 23일입니다.


그리고 내부에는 다음과 같은 PDB 정보를 담고 있는데, '바카라 꽁 머니 조직,인천광역시 코로나바이러스 대응제목으로 바카라 꽁 머니' 사례에서도 유사한 'Crat Client' 문자열이 유사하게사용된 바 있습니다.



G:\crat0\client\Build\Win32\DllRelease\zero_Win32.pdb


해당 악성 파일은 다시 C2 통신을 통해 바카라 꽁 머니자의 추가명령을 수행하고, 이를 통해 다양한 위협에 노출될 위험이 생길 수 있습니다.



C2 URL 주소

https://mokawafm[.]com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php

https://www.tiramisu[.]it/wp-content/plugins/wp-comment-form.php

http://www.kartacnictvi[.]cz/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/upload.php

http://www.dimer-group[.]com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/download.php

https://ecolerubanvert[.]com/wp-content/plugins/image-intense/know.php



바카라 꽁 머니 APT조직은 명령제어(C2) 서버를 구축할 때 주로 워드프레스 기반의 웹 사이트를 활용하고 있는 공통점이 존재합니다.


ESRC에서는 바카라 꽁 머니 APT 조직의 사이버 위협활동이 최근 지속적으로 증가하고 있는 것을 확인하고 있습니다.


국내에선 주로 비트코인 거래 관계자를 대상으로 표적바카라 꽁 머니을 수행하고 있고,증권사 직원을 노린 정황까지포착되는 등 금전적 수익을목적으로 한 바카라 꽁 머니이의심되고 있습니다. 해외에서는 주로 방위산업체 등이 바카라 꽁 머니을 받고 있는 실정입니다.


특정 정부의 지원을 받아 활동하는 이들 바카라 꽁 머니 조직의 위협이 증가함에 따라 관계분야의보안강화가 필요해 보입니다.


이번 바카라 꽁 머니사례와 관련된 악성파일들은 알약제품군에서 모두 탐지 및 치료가 가능하며, 보다 자세한 침해지표(Ioc) 등은 이스트시큐리티 위협 인텔리전스 서비스인쓰렛 인사이드(Threat Inside)를 통해 확인이 가능합니다.



라자루스(Lazarus)그룹의 지속적인 해외 방위산업체 타깃 바카라 꽁 머니 포착(2020. 05. 15)

코로나19 정국에도 ‘라자루스’ 그룹 소행 국내외 APT 바카라 꽁 머니 증가 주의보(2020. 04. 28)

바카라 꽁 머니 조직, '인천광역시 코로나바이러스 대응' 제목으로 바카라 꽁 머니(2020. 04. 07)

미국 라스베가스 CES2020 참관단 참가신청서 사칭 APT 바카라 꽁 머니 정황 포착(2019. 10. 24)


이스트안전 바카라사이트 기업 | 공지사항