Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보북한 해킹 그룹 Andariel 국내 웹사이트 방문자 정보 수집
작성일 2018-07-25 조회 3889

 

워터링 홀 정찰 플로우 [http://www.trendmicro.co.kr/kr/blog/trendlabs-security-intelligence/new-andariel-reconnaissance-tactics-hint-at-next-targets/index.html]

 

 

 

 

지난주 트랜드마이크로 및 IssueMakersLab 등에서는 북한 해킹 그룹인 Andariel의 국내 웹사이트 위변조 사실을 공개했습니다.

 

보고서에 따르면 지난 5월 한국의 몇몇 웹사이트에 “GoldenAxe 작전”으로 명명된 워터링 홀 공격 (Watering Hole Attack)을 위해 액티브X에 제로데이 익스플로잇 공격을 가한 것을 확인했습니다.
그러나 더 최근인 6월 21일 안다리엘(Andariel)이 정찰을 목적으로 총 4개의 각기 다른 한국 웹사이트를 변조해 스크립트를 주입한 것이 발견됐습니다.

 

 

  

Andariel Obfuscated Script using ActiveX Exploit Kit Sha256:b92bf44e5486abfbc20f44bc42fcdcccb135365ffd7ff86fa93556b3c0fcfca6

 


Andariel Obfuscated Script using ActiveX Exploit Kit Sha256:cfcd391eec9fca663afd9a4a152e62af665e8f695a16537e061e924a3b63c3b9

 

 

6월 21일 한국의 한 비영리 단체의 웹사이트가 변조되어 스크립트가 주입되었고 이로 인해 방문자들의 정보가 수집되고 있다는 것이 발견되었습니다.
또한 한국의 또 다른 3개의 지방 정부 노조 웹사이트에서 같은 스크립트가 발견되었습니다. 

 

 

국내 웹사이트에 삽입된 Andariel Exploit [https://www.facebook.com/cyberwar15/]

 

 

스크립트를 통한 정찰 활동은 6월 27일까지 계속되었으며, 트렌드마이크로는 해당 웹사이트들에 이러한 사실을 공지했습니다.

 

이 스크립트는 방문자의 브라우저 유형, 시스템 언어, 어도비 플래시 플레이어 버전, 실버라이트(Silverlight) 버전 및 여러 액티브X 등의 정보를 수집하는데 이전 목록에 없던 두 개의 추가 액티브X를 감지하기 위한 시도를 한 것이 발견되었습니다.

 

 

ActiveX 취약점 리스트 [https://twitter.com/issuemakerslab]

 

 

소프트캠프 문서보안 DRM 모듈의 ActiveX 취약점과 OZ e-Form 음성변환 모듈의 ActiveX 취약점이 추가되었습니다. 그 중 OZ e-Form은 한국의 지방 자치 단체와 공공 기관이 해당 소프트웨어를 사용하고 있어 공공기관에 추가적인 공격이 예상되기도 합니다.

 

액티브X 외에도 스크립트는 새로운 코드를 추가하여 웹소캣을 로컬호스트로 연결했습니다. 음성 변환 소프트웨어는 로컬호스트에서 수신하는 웹소캣 서비스를 통해, 소프트웨어가 사용하는 45461 혹은 45462 포트에 연결될 수 있는지를 감지하는 스크립트가 추가로 삽입되었습니다.
크롬 및 파이어폭스와 같은 다른 브라우저에서도 웹소캣 확인을 수행할 수 있는 것으로 확인되고 있습니다.


공격자가 대상 기반을 확장하고 액티브X 모듈 뿐 아니라 소프트웨어 자체에도 관심이 있음을 보여주며, 이러한 변화에 따라 액티브X 이외의 공격 벡터를 사용할 수 있다는 것을 보여준다고 분석하고 있습니다.

 

 

접속자 정보 C&C 전송

 

 

워터링홀 사이트에 접속시 사용자의 정보는 C&C로 전송되고, 현재까지는 국내 웹사이트 방문자 정보 수집을 목적으로 하고 있습니다.
현재까지 확인된 C&C 리스트는 다음과 같습니다.

'hxxp://alphap1[.]com/hdd/images/image[.]php?id=ksjdnks'
'hxxp://adfamc[.]com/editor/sorak/image[.]php?id=ksjdnks '
'hxxp://aega[.]co[.]kr/mall/skin/skin[.]php?id=ksjdnks'
'hxxp://adfamc[.]com/editor/sorak/image[.]php?id=ksjdnks'
'hxxp://www[.]peaceind[.]co[.]kr/board/skin_pool/gallery/poll[.]php?id=ksjdnks'
'hxxp://www[.]peaceind[.]co[.]kr/board/icon/image[.]php?id=ksjdnks'

[C&C 리스트]

 

 

 

Sniper 제품군 대응방안


Sniper-IPS

[4390] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE
[4391] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.A
[4392] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.B
[4393] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.C
[4394] Softcamp DRM DSDOWNCTRL ActiveX RCE
[4395] Softcamp DRM DSDOWNCTRL ActiveX RCE.A
[4396] Win32/RAT.Andariel.Connection

 

Sniper-UTM

[805374613] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE
[805374614] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.A
[805374615] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.B
[805374616] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.C
[805374617] Softcamp DRM DSDOWNCTRL ActiveX RCE
[805374618] Softcamp DRM DSDOWNCTRL ActiveX RCE.A
[838861521] Win32/RAT.Andariel.Connection

 

Sniper-APTX

[3642] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE
[3643] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.A
[3644] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.B
[3645] OZ e-Form WSACTIVEBRIDGEAX ActiveX RCE.C
[3646] Softcamp DRM DSDOWNCTRL ActiveX RCE
[3647] Softcamp DRM DSDOWNCTRL ActiveX RCE.A
[3648] Win32/RAT.Andariel.Connection

 

 

 

참조
http://www.trendmicro.co.kr/kr/blog/trendlabs-security-intelligence/new-andariel-reconnaissance-tactics-hint-at-next-targets/index.html
https://twitter.com/issuemakerslab

 

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그 Andariel  Lazarus