소개 :
퀵 힐 시큐리티 랩스(Quick Heal Security Labs) 연구원들이 인도 군인을 표적으로 삼은 잠재적 스피어 피싱(Spear Phishing) 캠페인을 발견했습니다. 이 공격에서 공격자들은 "육군 복지 교육 협회(Army Welfare Education Society)" 장학금 신청서를 미끼로 사용했습니다.
AWES 소개:
육군복지교육협회(AWES)는 지방 군 당국을 통해 인도 군인 자녀들에게 적절한 교육 시설을 관리하고 보장합니다. 1983년에 설립된 이 협회는 델리 주둔지 샹카르 비하르에 사무실을 두고 있으며, 지난 몇 년간 인도 전역에 137개 이상의 육군 공립학교와 249개의 육군 유치원을 설립했습니다.
최근 공격에 대한 세부 정보:
문서 분석:
“ESSA-장학금.docx”
FIG.1 주형
FIG.2 ESSA 장학금.docx
“ESSA-Scholarships.docx” 트리거 CVE-2017-0199 이 취약점은 나중에 "settings.xml.rels" 내부에 내장된 랜딩 페이지에서 ".dotm" 파일 단계를 시작합니다.
이 기술은 "템플릿 주입"으로도 널리 알려져 있으며, 탐지가 쉽기 때문에 위협 행위자들 사이에서 인기가 많습니다.
“essa.dotm”
사용자가 "보호된 보기"를 비활성화하자마자, 이전 단계에서는 "essa.dotm"을 다운로드하고 실행하여 매크로를 추가로 실행합니다.
FIG.3 데이터 추출
단계적 페이로드의 모든 데이터는 "UserForum.TextBox"에 저장됩니다. 이 매크로는 네 개의 텍스트 상자를 객체로 가지며, 디스크에 파일로 저장하고 추가 단계를 시작할 모든 데이터를 포함합니다.
FIG.4 모든 파일을 저장하기 위한 루틴
실행 가능한 페이로드 분석:
"fixit.exe": 명령 및 제어(C&C)에서 명령이 실행되지 않는 한 로더처럼 동작하는 경향이 있습니다. 페이로드는 완전히 새롭게 .NET으로 작성되었으며, 많은 작업을 수행하지 않습니다.
FIG.5 정보수집
페이로드는 .scr 확장자를 가지고 있으며, 실행되면 WMI 쿼리를 사용하여 감염된 호스트에 대한 다음 정보를 수집합니다.
1; 프로세서 ID.
2; 사용자 이름.
3; 일반 세부 정보(아키텍처, 캡션, 버전).
4. 장치 유형(노트북/데스크톱)을 확인하세요.
5. 장치 모델.
그림 6 C2로 전송되는 초기 노크
호스트에 대한 정보가 수집되면, 페이로드는 해당 정보를 C&C로 전송하고 C&C에서 발행된 명령에 따라 다음과 같은 작업을 수행합니다.
1; 프로세스 목록을 가져옵니다.
FIG.7 실행 중인 프로세스 목록 보내기
C7에서 "q2&F%2" 명령이 발행되면 페이로드는 "Process.GetProcesses()"를 사용하여 실행 중인 프로세스 목록을 보내고 목록의 배열을 생성합니다.
2; 파일 쓰기 및 실행:
그림 8 쓰기 및 실행 루틴
C2가 명령을 반환하면 페이로드는 파일을 수신하고 현재 폴더에서 실행합니다.
고집:
그림 9 지속성 생성
Payload 감염된 호스트에서 LNK 파일을 "시작 폴더"에 저장하여 지속성을 확보합니다. 이는 다른 위협 행위자들이 사용하는 잘 알려진 기법입니다. 페이로드는 공개적으로 사용 가능한 "IWshRuntimeLibrary.dll"이라는 어셈블리를 로드하고, 실행 중인 페이로드의 작업 디렉터리를 참조하는 LNK 파일을 대상 폴더에 생성하려고 시도합니다.
출처 – https://www.aitpune.com/Notices/Scholarship/ESSA-Circular.pdf
전체 체인이 성공적으로 실행되면 매크로는 공개적으로 사용 가능한 ProgramData 디렉토리에 있는 PDF 파일을 엽니다.
맺음말:
공격이 성공할 경우, 공격자는 피해자의 컴퓨터에서 민감한 데이터를 유출할 수 있습니다. 이 공격의 배후에 어떤 조직이 있는지 파악하기 위한 추가 분석 및 관찰이 진행 중입니다. 그때까지 AWES는 주의를 기울이고 모든 구성원에게 이 공격에 대해 알리시기를 권고드립니다.
MITRE ATT&CK TTP:
| 첨부 파일을 이용한 스피어 피싱 | T1566.001 |
| 템플릿 주입 | T1221 |
| 사용자 실행: 악성 .docx 및 xls | T1204.002 |
| 디스크에 파일 쓰기 | T1006 |
| 명령 및 제어에 연결 | TA0011 |
| 지속성: 시작 폴더에 LNK 파일 쓰기 | T1547.001 |
Quick Heal이 사용자를 보호하는 방법:
악성 샘플에 대해 다음과 같은 탐지 결과가 있습니다.
VBA.트로이 목마.41523
O97M.다운로더.41522
트로이.페르세우스.S19235058
트로이.페르세우스.S19221636
Trojan.MSIL
또한, 사용된 도메인과 IP는 Quick Heal URLCAT에 의해 악성으로 분류됩니다.
IOC:
| 문서: CVE-2017-0199 | |
| 74e41223ec6359a9bd05bbce36b452fd046aaad64617f459ba262a5210925942 | ESSA 장학금.docx |
| d035e96f54abe59dcdbc2156e55cd0135ec420f8e97aca7f109ee8d062baa755 | irlaforyou.docx |
| d4b36731cb37ad05b0b9678b568c10a56f2e84967b393b626afb19d2df41c9b9 | SARS_적격_클럽___리조트.xls |
| 템플릿 : | |
| fc3dd043b795a1cedb8b7e1e5471f15c0b5c17c237f634c60c4e0a92d980914b | 에사닷엠 |
| 108a5035ab40b13b489f8a1fb8fd8bdb5880368c9c18e1d244df23b8d5a26d67 | temp.dotm |
| 9fc84eadba969bd12cda144750cef361bcdff224026eb3921d8d46a5a424da5b | temp.dotm |
| 실행 파일: | |
| d0a5ffa3b9c40eb1e4277e7c41a100b0836c9424b36fb9bbe281711c0b116883 | fixit.exe |
| 4c21c88399d95a3602aaacf85a83c8aaac5ae7b6bf192c4c25cef4f9224b6f7b | 픽셀웍스.exe |
| 2491caddf4445d9297404493c7707b54591c989b94fd4634a7afdf54c0d22e9c | sapesvx.exe |
| 979f7952dd2225c149f1766b4bca020b680364a77ddb6006cfa462543e0a6440 | winsuffix.exe |
| c7dbca435039a6148dc25208f04b734465e8b7c92010ede1401d88f5f8003f2d | 폭스패키지.exe |
| 871cab3256acdbc3c27650adde878658568a85b87e85d3e3c137bdeb4592fb2c | amdSfx.exe |
| 1eb0d373cea19124687ed4bffb0da3f80f98a18b9e0bebd3c12443f0a3d81689 | 모뎀px.exe |
| 814ed2b9ae0770d727a8cd83581b4865b2abe16f8190240c5c1e821e22a280ab | 폭스패키지.exe |
| dd47cf8ec70658af85e0cd23922462ac788305034fe78ed725bb90c1a3fa04cc | 스크립트pbox.exe |
| 도메인 : | |
| templatesmanagersync.info | |
| 10피드닷컴 | |
| 방문 페이지: | |
| hxxp://templatesmanagersync.info/essa.dotm | |
| hxxp://10feeds.com/temp.dotm | |
| IP : | |
| 173.249.14.104
해당 주제 전문가: 차이타냐 하리타쉬 샤야크 타라프다르 |
