À̽ºÆ®½ÃÅ¥¸®Æ¼ ESRC, ºÏÇÑ Á¤ÂûÃѱ¹ ¹èÈÄ¿¡ ÀÖ´Â APT ±×·ì ¡®ÄÚ´Ï¡¯ ¼ÒÇà ÃßÁ¤
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ±¹³» ÀÌ¿ëÀÚÀÇ °³ÀÎÁ¤º¸°¡ ´ã±ä ÆÄÀÏÀ» ÀÌ¿ëÇÑ APT °ø°ÝÀÌ ¹ß°ßµÅ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. À̹ø¿¡ ¹ß°ßµÈ °ø°Ý ÆÄÀÏÀº ¿öµå ¹®¼(.docx) ÆÄÀÏ·Î, ÃÖ±Ù °ø°ÝÀÚµéÀÌ ÀÚÁÖ »ç¿ëÇÏ´Â ¿ø°Ý ÅÛÇø´ ÁÖÀÔ(Remote Template Injection) ±â¼úÀ» »ç¿ëÇß´Ù.
¡ã¾Ç¼º ¿öµå ÆÄÀÏÀÇ ¸ð½À[À̹ÌÁö=ESRC]
À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)¿¡ µû¸£¸é À̹ø¿¡ ¹ß°ßµÈ ¹®¼ ÆÄÀÏÀº ¡®Paypal¡¯ À̸§ÀÇ °èÁ¤¿¡¼ Áö³ 6ÀÏ 19½Ã 26ºÐ°æ ¼öÁ¤µÈ °ÍÀ¸·Î È®ÀεƴÙ. ÀÌ ¹®¼´Â ¿ø°Ý ÅÛÇø´ ÁÖÀÔ ±â¼úÀ» »ç¿ëÇØ ¡®k22012.c1[.]biz/paypal.dotm¡¯¿¡¼ ¾Ç¼º ¸ÅÅ©·Î°¡ Æ÷ÇÔµÈ dotm È®ÀåÀÚÀÇ ÅÛÇø´ ÆÄÀÏÀ» ÀÚµ¿À¸·Î ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù.
¡ãÀÚµ¿À¸·Î ´Ù¿î·Îµå µÇ´Â dotm ÆÄÀÏ[À̹ÌÁö=ESRC]
»ç¿ëÀÚ°¡ ¸ð¸£´Â »óÅ¿¡¼ ¡®ÄÜÅÙÃ÷ »ç¿ë¡¯ ¹öÆ°À» ´·¯ ¸ÅÅ©·Î ±â´ÉÀ» È°¼ºÈÇϸé, »ç¿ëÀÚ¿¡°Ô´Â ´ÙÀ½°ú °°Àº ÆÄÀÏÀÌ º¸ÀÌ¸ç ¹é±×¶ó¿îµå¿¡¼´Â dotm ³» ¾Ç¼º ¸ÅÅ©·Î°¡ È°¼ºÈµÈ´Ù.
¡ã¸ÅÅ©·Î ½ÇÇà ÈÄ º¸¿©Áö´Â ¿öµåÆÄÀÏ[À̹ÌÁö=ESRC]
paypal.dotm ÆÄÀÏ ³»ºÎ¿¡´Â ¹®¼ ÆùÆ®¸¦ °ËÀº»öÀ¸·Î º¯°æÇÏ°í, ¡®5645780.c1.biz¡¯¿¡¼ ¡®.cab¡¯ È®ÀåÀÚÀÇ ¾ÐÃàµÈ Ãß°¡ ÆäÀ̷ε带 ´Ù¿î·ÎµåÇÑ´Ù. ÀÌÈÄ Ãß°¡·Î ³»·Á¹ÞÀº ÆÄÀÏÀÇ ¾ÐÃàÀ» ÇØÁ¦ÇÏ¸é ±× ¾È¿¡´Â ¡®check.bat¡¯¸¦ ½ÇÇàÇÏ´Â Äڵ尡 Æ÷ÇԵŠÀÖ´Ù.
¡ãpaypal.dotm ³» ¸ÅÅ©·Î ÄÚµå(ÁÂ)¿Í C&C¿¡¼ ´Ù¿î¹ÞÀº cab ÆÄÀÏ ³»¿ë(¿ì)[À̹ÌÁö=ESRC]
¡®check.bat¡¯ Äڵ忡´Â ¡â°ü¸®ÀÚ ±ÇÇÑ È®ÀÎ ¡âOS Bit¿¡ µû¶ó °¢°¢ wpnprv32/64.dll ½ÇÇà µîÀÇ ¸í·É¾î°¡ Æ÷ÇԵŠÀÖ´Ù. wpnprv32/64.dll ¸ðµâÀº UAC Bypass ±â´ÉÀ» °¡Áø ±ÇÇÑ»ó½Â ¸ðµâ·Î check.batÀ» ÅëÇØ °ü¸®ÀÚ ±ÇÇÑÀ» È®ÀÎÇÑ´Ù. ¸¸ÀÏ ÇöÀç »ç¿ëÀÚ°¡ ¡®°ü¸®ÀÚ¡¯¶ó¸é trap.bat¸¦ ¹Ù·Î ½ÇÇàÇϸç, ¡®»ç¿ëÀÚ¡¯¶ó¸é wpnprv32/64.dll ¸ðµâÀ» ÅëÇØ ±ÇÇÑÀ» »ó½Â½ÃŲ ÈÄ, °ü¸®ÀÚ ±ÇÇÑÀ¸·Î ¡®trap.bat¡¯¸¦ ¹èÄ¡ ½ºÅ©¸³Æ®¸¦ Ãß°¡·Î ½ÇÇàÇÑ´Ù.
UAC´Â »ç¿ëÀÚ °èÁ¤ ÄÁÆ®·Ñ(User Account Control)·Î À©µµ¿¡¼ Á¦°øÇÏ´Â º¸¾È±â´ÉÀ̸ç, ±ÇÇÑÀÌ ¾ø´Â ÇÁ·Î±×·¥ÀÌ ¹Ù·Î ½ÇÇàµÇÁö ¾Êµµ·Ï »ç¿ëÀÚ¿¡°Ô ½ÇÇà ¿©ºÎ¸¦ ¹¯´Â´Ù. ¾Ç¼ºÄÚµåµéÀº ·¹Áö½ºÆ®¸® º¯°æ µî ´Ù¾çÇÑ ¾Ç¼ºÇàÀ§¸¦ À§ÇØ °ü¸®ÀÚ ±ÇÇÑÀ» ÇÊ¿ä·Î ÇÏ´Â ÀÛ¾÷À» ½ÃµµÇϴµ¥, À̶§ »ç¿ëÀÚ°¡ ÀÎÁöÇÏÁö ¸øÇϵµ·Ï UAC Bypass ±â¹ýÀ» »ç¿ëÇÑ´Ù.
¡ãcheck.bat ¹èÄ¡ ½ºÅ©¸³Æ® ÄÚµå[À̹ÌÁö=ESRC]
°ü¸®ÀÚ ±ÇÇÑÀ¸·Î ½ÇÇàµÇ´Â ¡®trap.bat¡¯¿¡¼´Â À©µµ Æú´õ¿¡ OS ºñÆ®º°·Î ¡®rdssvc.dll¡¯, ¡®rdssvc.dat¡¯ À̸§À¸·Î º¹»çÇÏ°í ¼ºñ½º·Î ½ÇÇàÇÑ´Ù. ÃÖÁ¾ÀûÀ¸·Î ½ÇÇàµÇ´Â ¡®rdssvc.dll¡¯ ÆäÀ̷εå´Â C&C(4895750.c1.biz)¿Í Åë½ÅÀ» ÅëÇØ PC Á¤º¸ ¾÷·Îµå¿Í ¸í·ÉÁ¦¾î ±â´ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
¡ãÆäÀ̷εå ÄÚµå ÀϺÎ(ÁÂ)¿Í ÆäÀÌ·Îµå ³» ¹®ÀÚ¿ º¹È£È °á°ú ȸé(¿ì)[À̹ÌÁö=ESRC]
ESRC´Â ¿©·¯ ÁöÇ¥µéÀ» ºÐ¼®ÇÑ °á°ú, À̹ø °ø°ÝÀº ºÏÇÑ Á¤ÂûÃѱ¹ÀÌ ¹èÈÄ¿¡ ÀÖ´Â ÄÚ´Ï(Konni) Á¶Á÷ÀÇ ¼ÒÇàÀ¸·Î °á·ÐÁö¾ú´Ù°í ¹àÇû´Ù.
ESRC °ü°èÀÚ´Â ¡°º»¹® ÅؽºÆ® »ö»óÀ» º¯°æ, »ç¿ëÀÚ È£±â½ÉÀ» À¯¹ßÇØ ¸ÅÅ©·Î ½ÇÇàÀ» À¯µµÇÏ´Â ¹æ½ÄÀº ÀÌ¹Ì ÄÚ´Ï Á¶Á÷ÀÌ ¿À·¡ÀüºÎÅÍ Áñ°Ü »ç¿ëÇÏ´Â °ø°Ý ¹æ½Ä¡±À̶ó¸ç ¡°wpnprv32/64.dll ¸ðµâÀ» ÀÌ¿ëÇÑ UAC Bypass ±â¹ýµµ ÃÖ±Ù ÄÚ´ÏÀÇ °ø°Ý¿¡¼ ¹ß°ßµÈ °ø°Ý±â¹ý Áß Çϳª¡±¶ó°í ¸»Çß´Ù. ÀÌ¾î ¡°ÄÚ´Ï´Â 2017³â Cisco TalosÀÇ º¸°í¼¿¡¼ ¾Ç¼ºÄÚµå Konni·Î óÀ½ °ø°³µÆÀ¸¸ç, ÀÌÈÄ º¸¾È¾÷°è¿¡¼ Á¡Â÷ APT ±×·ìÀ¸·Î ÀνĵǸç APT ±×·ì¸íÀ¸·Î »ç¿ëµÇ°í ÀÖ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>