2019-10-19 02:29 (토)
러시아 APT공격 그룹, 플래시 익스플로잇 툴인 ‘DealersChoice’ 주로 사용
상태바
러시아 APT공격 그룹, 플래시 익스플로잇 툴인 ‘DealersChoice’ 주로 사용
  • 페소아 기자
  • 승인 2016.10.20 00:02
이 기사를 공유합니다

러시아의 APT그룹인 Sofacy는 DealersChoice라 명명된 플래쉬 플레이어 익스플로잇 도구를 사용하고 있는 것으로 드러났다.

팔로알토네트웍스 42연구소 위협연구팀의 연구에 따르면 악성 플래쉬 swf파일이 임베디드된 OLE 워드 문서를 담고 있는 RTF문서를 제작하는 툴이 발견되었다. 이 파일-내-파일-내-파일들(files-within-files-within-files)의 주 목적은 Fancy Bear로 알려진 APT그룹이 피해자의 머신을 공격하고 추가 멀웨어를 다운로드할 수 있게 해주는 백도어를 만들어내는 것이다.

이 회사 Robert Falcone는 "난독화와 안티-분석을 위해 여러 레이어를 더해졌기 때문에 다수의 레이어가 존재한다는 것이 흥미롭다"라고 설명했다. 또 "이 복수의 레이어들로 인해 분석을 할 때 악성코드의 콘텐츠를 보기 위해 각각을 벗겨내는 노력을 해야 하고 분석에 더 많은 노력이 필요해진다"고 전했다.

지난 8월 15, 16일 DealersChoice가 악성 플래쉬 파일을 우크라이나 방위계약업체와 외교부에 보내는 두개의 사건이 발생했다. 두 공격 모두 스피어 피싱 이메일을 통해 시작된다. 예를 들어 우크라이나 방위계약업체의 경우 가능한 러시아 침입에 대한 정보를 제공하는 것처럼 위장하고 보내는 이의 이메일 주소를 유럽의회신문에 소유로 속여서 발송되었다. 이메일에 첨부되어있는 파일을 클릭하면 악성문서가 열릴 것이고 익스플로잇 툴이 작업을 하게 될 것이다.

팔로알토는 DealersChoice.A와 DealersChoice.B라는 두개의 별개의 임베디드된 SWF파일 이종을 발견했다. 전자는 4개의 임베디드된 파일과 스스로 악성 쉘코드를 지녀 사용자를 감염시키는 액션스크립트를 포함하고 있다. 반면 후자인 Version B는 C&C서버에 연결하여 피해지의 시스템을 공격하기 위해 필요한 컴포넌트들을 다운로드 한다.

어느 경우에나 피해자의 시스템에 대한 공격성공을 위해 사용자의 머신에 설치되어있는 플래쉬의 버전을 체크한다. 만약 체크된 버전이 익스플로잇 가능하지 않다면, 멀웨어는 실행되지 않을 것이다. Version B는 C&C서버에 머신의 정보를 보낸다. 서버는 머신의 운영체제를 체크할 수 있는데 이는 Version B가 다양한 운영체제 플랫폼에서 동작할 수 있다는 의미이다.

팔로알토 연구원들은 DealersChoice.A 페이로드를 연구하여 그것이 Sofacy Trojan의 Carberp 변종과 그것의 OS X에 대한 Komplex변종과 본질적으로 비슷함을 알게 되었다. "이는 그들이 트로얀을 다른 환경에 대해 만들어낼 수 있으나 코어 설계는 공유한다는 것을 말해준다"라고 Falcone는 설명했다.

★정보보안 & IT 대표 미디어 데일리시큐!★