북한 해킹 그룹 Lazarus의 새로운 공격 방법 분석
안녕하세요, 리암입니다.
오랜만이죠?
오늘은 최신 북한 해킹 그룹의 동향에 대해 알아보는 시간을 갖도록 하겠습니다.
혹시 북한 해킹 그룹 하면 떠오르는 곳이 있나요?
우리나라에 잘 알려져 있는 북한 해킹 그룹으로는 킴수키, 라자루스, 스카크러프트, 안다리엘 등이 있습니다.(이들에 대한 개요는 막내 chaning이 설명해 드릴거에요 ㅎㅎ)
오늘은 그 중에서 라자루스의 최신 동향에 대해 얘기해보죠!!
2021년 11월 30일 VirusTotal에 북한 해킹 그룹인 라자루스에 관련한 문서가 업데이트 되었는데요, 스텔스솔루션의 위협 인텔리전스 파트너인 Group-IB가 해당 내용에 대해 발빠르게 분석했습니다.
본 정보는 Group-IB에서 제공한 정보로 무단 전재 및 재배포를 금지합니다.
Severity RED / Credibility 80% / Reliability 80%
Target sectors : science and engineering : aerospace
자세한 내용에 들어가기에 앞서 간단하게 “라자루스(Lazarus)”와 “오퍼레이션 드림 잡(Operation Dream Job)”에 대해 짚고 넘어가 볼까요?
- 라자루스(Lazarus) : 라자루스는 2007년부터 활동을 이어온 북한의 해킹그룹으로 라자루스란 이름 뿐 아니라 “Dark Seoul Gang”, “HIDDEN COBRA”, “APT38”, “Zinc” 등의 다양한 이름으로 불리고 있습니다.
주요 공격 타겟은 우리나라이며, 그 외에는 미국과 러시아 등이며 해당 국가의 금융, 국방, 과학 분야에 대해 다양한 공격을 진행하고 있습니다. - 오퍼레이션 드림 잡(Dream Job) : 2019년 항공 우주와 방위산업체 분야 취업에 관심을 가진 사람들을 대상으로 한 공격입니다. 비즈니스 관련 소셜미디어에서 항공 우주 및 방위 산업체 분야 구인구직 서비스의 채용 담당자로 위장한 계정을 만들고, 새로운 일자리 제공을 미끼로 공격하는 사회공학적 기법을 사용했습니다.
그러면 자!!! 이제 배경지식도 얻었으니 본격적으로 들어가볼까요?
위에서 말했던 VirusTotal에 올라온 문서의 내용은 아래와 같습니다.
혹시 아까 제가 설명한 오퍼레이션 드림 잡과 관련해볼때 파일명이 유추되지는 않으신가요?(저는 왠지 Lockheed Martin Corporation — Job Description 일 것 같습니다ㅎㅎ)
피해자가 문서를 열면 아래와 같은 이미지를 확인할 수 있으며 보시다시피 록히드 마틴사의 로고가 레터헤드에 나와있습니다(예측성공)
이 문서에 대해서 조금 더 설명을 이어나가 볼까요?
파일을 분석해본 결과 이 문서에는 프라이빗 IP 주소로 이루어진 원격 URL hxxp://10[.]10[.]130[.]129:4080/down.php?id=2383이 포함되어 있습니다. 하지만, 이 문서에는 원격 URL 뿐만 아니라 매크로도 함께 포함되어 있었는데요, 매크로는 프로그램 데이터 디렉토리인 “C:\ProgramData\ScriptE8R492.dat”에 파일을 작성한다음 rundll32.exe로 실행시킵니다.
작성하는 파일 정보는 다음과 같습니다.
이 파일은 Notepad++에서 DLL의 트로이 목마 버전입니다. 여기에는 추가 내보내기를 수행할 수 있는 “DllGetFirstChild”가 포함되어 있습니다. 이것은 악성 기능을 수행하는 곳입니다. 또한, 이는 라자루스의 “아가멤논” 트로이 목마 다운로더와 유사한 것으로 밝혀졌습니다.
이 DLL은 2개의 인수, NTPR 키워드 및 다른 긴 암호화된 인수로 실행해야 하는데요, 이 2개의 인수는 이전 단계 매크로에서 제공됩니다.
이 길고 긴 인수는 3가지 다른 URL로 복호화 할 수 있습니다
- hxxp://mantis[.]greenwell[.]pl/config/config.php
- hxxps://mantis-gewa[.]technisat-digital[.]de/library/adodb/adobe.php
- hxxps://ear[.]iea-hamburg[.]de/api/soap/mcapi.php
여기서 굉장히 중요한 점이 하나 나오는데요 위에 나와있는 세 가지 도메인 모두 합법적이며 버그 추적을 위해 MantisBT라는 합법적인 도구를 사용합니다. 아마도 취약한 버전의 MantisBT를 통해 호스트가 손상되었을 확률이 높습니다.
디폴트 사용자 에이전트를 얻기 위해 GetUserAgent()를 사용하지만 존재하지 않는 경우 하드 코딩된 사용자 에이전트 “Mozilla/5.0 (Windows NT 10.0; WOW64; Trident / 7.0; rv:11.0) like Gecko”를 사용합니다.
다운로더에는 중요한 두 가지 작업이 있습니다.
- 네트워크, 컴퓨터 이름, 사용자 이름, 프로세스 정보 등과 같은 호스트 정보를 수집합니다. 그런 다음 LZNT1을 사용하여 압축하고 이 정보를 무작위로 선택한 URL 중 하나로 보냅니다.
- 그런 다음 서버에서 다음 단계를 다운로드 합니다.
이 프로세스는 3번을 요청을 통해 이루어지며 전송하는 모든 데이터는 32Byte 키(16진수 표현 : “01 02 06 04 20 05 08 11 26 16 30 21 28 29 03 13 27 14 10 23 15 25 17 24 07 19 12 18 32 09 31 22”)로 XOR 암호화된 다음 Base64로 인코딩됩니다.
(1) 첫 번째 요청은 호스트 정보를 서버에 전송하여 호스트를 서버에 등록합니다. POST 데이터 포맷은 다음과 같습니다. “search=YOIPOUP&ei=[UID]&oq=[Encrypted host information]”
아래는 통신 초기에 악성코드가 보내는 HTTP POST 요청 예시입니다.
(2) 두 번째 요청은 다음 단계를 다운로드 합니다. POST 데이터 형식이 “search=DOWPANY&ei=[UID]”로 바뀝니다.
서버에서 다음 단계를 수신한 후 4가지 다른 작업이 있을 수 있습니다
- PE file 및 메모리에 로드
- 다운로드 및 %APPDATA%\~DMF[4digits].tmp에 EXE 생성. CreateProcess()를 사용하여 실행
- 다운로드 및 %APPDATA%\~DMF[4digits].tmp에 DLL 생성. Rundll32.exe를 이용해서 실행
- shellcode 수신 및 실행
(3) 세 번째 요청은 이전 작업이 성공했음을 서버에 알립니다. POST 데이터는 search=TOPMEIL&ei= [UID]&oq=[Encrypted output information] 입니다.
도메인 정보는 다음과 같습니다
네 이렇듯 오늘은 라자루스에서 진행한 새로운 공격 방식에 대한 분석을 진행해 보았습니다. 북한의 해킹공격은 여전히 진행되고 있으며 그 규모와 방법이 나날히 교묘해지고 있습니다. 그러면 마지막으로 이번 공격에 대한 내용만 정리하고 마치도록 하겠습니다. 감사합니다.
FILES
FILE
LMCO — JD.doc
Hash list
MD5 : a145fc533ba903209544597c978d0e08
SHA1 : b5d7d401d911ca776144637e13ffbce15227a2cf
SHA256 : ef2d3e488b781a7c6144afa8fc8ba2b6d085ca671100d04686097f3b4dd2ed42
FILE
NppShell.dll
Hash list
MD5 : 4750356c638d963f1021103bebaafc55
SHA1 : 3af1ea283931bcf48c7ccc1f6e7ac5ca276b1ccf
SHA256 : 1fe9913962185ec1a915dc3a5923ad596cc28ff12ba6f7cacc0554c64ae7060f
NETWORK INDICATORS
Domain
mantis.greenwell.pl
* IPv4 : 52.57.57.220
Domain
mantis-gewa.technisat-digital.de
* IPv4 : 193.158.71.141
* URL : https://mantis-gewa.technisat-digital.de/library/adodb/adobe.php
Domain
ear.iea-hamburg.de
* IPv4 : 78.46.62.73
MITRE MATRIX
Enterprise attack
