Declared an innovator and leader for Secure Web Gateways (SWG) by Frost and Sullivan

Back to blog

템플릿 인젝션 공격 파트 3: 북한까지 미끼를 따라가다

Menlo Labs | Dec 08, 2022

Share this article

핵심 요약

2022년 10월, Menlo Labs 연구팀은 은폐된 템플릿 인젝션 문서의 세부 사항을 게시했습니다. 이 문서는 10진수 IP 주소를 포함하거나 암호화된 URL 형식을 사용하여 원격으로 호스팅되는 템플릿을 가져옵니다. 이 기사는 무기화된 템플릿 인젝션 공격이 어떻게 작동하고 어떻게 예방할 수 있는지에 대한 게시물을 따른 것입니다. 무기화된 문서는 RTF 익스플로잇 템플릿을 사용하여 FormBook, Snake Keylogger, SmokeLoader와 같은 악성 소프트웨어를 전달했습니다.

무기화된 문서 공격에서 사용된 TTP가 동일한 특성을 가지고 있기 때문에, IOC를 심층 분석하여 데이터 포인트를 단일 위협 행위자에게 지문 및 속성화했습니다. 공격의 속성화와 발견된 데이터 포인트의 추적을 기반으로, 위협 행위자가 북한에서 운영되고 있으며 Lazarus 그룹과 관련이 있을 것으로 확신합니다.

공격과 속성의 역사

분석 과정에서 북한 위협 행위자들이 이전 블로그에서 언급된 IOC에서 본 것과 비슷한 TTP를 사용한 것을 확인했습니다.

2020년 Fortinet의 기사에서 북한 위협 행위자들이 Covid-19에 대한 한국의 대응에 관한 친절한 단어 문서를 이용하여 피해자들을 BabyShark 악성 소프트웨어를 다운로드하도록 속이는 악성 매크로를 사용했다고 밝혔습니다. 북한 위협 행위자들은 FedEx를 속여 악성 이메일을 보내고, 실제로 실행 가능한 LokiBot이 kbfvzoboss[.]bid/alien/fre.php로 데이터를 추출하는 PDF를 열도록 독자들을 격려했습니다. 이 IOC는 2018년부터 비슷한 공격에서 LokiBot이 사용한 것을 볼 수 있습니다.

연구 과정에서 Joe Sandbox에서 아래 샘플을 발견했습니다. 신기하게도 북한이 리소스 언어로 표시되어 있으며, 위에서 언급한 LokiBot URL과 유사한 URL구조를 포함하고 있습니다: http[://]sempersim[.]su/gj8/fre.php. 이 샘플은 이전에 언급한 두 블로그에서 분석한 것과 관련이 있습니다(악성 템플릿이 다운로드하는 감염 체인의 2차 악성 소프트웨어입니다). 우리는 많은 악성 문서들이 소수의 2차 악성 소프트웨어만 다운로드하는 경향이 있다는 것을 알아차렸습니다.

북한의 가능한 기원을 보여주는 스크린샷
북한의 리소스 국가로 표시되는 스크린샷 (Joe Sandbox에서 가져옴)
Joe Sandbox에서 가져온 이미지

악성 문서 내부에서는 이전 Menlo Labs 블로그의 템플릿 인젝션 공격에 대한 두 가지 분석에서 모두 57개 샘플에 반복되는 메타데이터를 확인했습니다.

문서 속성 목록의 스크린샷
선언된 언어와 언어 추측 (ar-sa 및 en-us)을 보여주는 스크린샷

메타데이터가 일치하는 동안, 일부 샘플은 기간으로 가려진 URL을 사용했고 다른 일부는 사용하지 않았습니다. 분석한 모든 샘플은 템플릿 인젝션 TTP를 사용하고 CVE-2017-0199를 악용했습니다.

이메일 첨부 파일이 무기화된 문서로 이어지고, 그로 인해 악성 소프트웨어, 감염된 웹사이트 및/또는 템플릿으로 이어지는 차트

북한 APT인 BlueNoroff에서 사용된 비슷한 TTP가 관찰되었습니다. 이는 현재 암호화폐 회사를 겨냥하는 데 초점을 맞추고 있습니다. SnatchCrypto 캠페인을 통해 BlueNoroff는 성공적인 암호화폐 스타트업을 추적하고 연구한 다음, 비즈니스 커뮤니케이션에서의 신뢰를 악용합니다. 침투팀은 개인 간의 상호 작용을 이해하기 위해 관심 주제를 파악하는 지도를 작성합니다. 이를 통해 완전히 정상적인 상호 작용처럼 보이는 고품질 사회 공학 공격을 감행할 수 있습니다. BlueNoroff는 필요한 사람들과 그들이 특정 시간에 논의하고 있는 주제를 정확하게 파악하여 기업을 침해합니다. 이를 통해 위협이 레이더 아래에서 날아가고 의심을 불러일으키지 않게 됩니다.

이러한 신뢰를 조작함으로써 BlueNoroff는 정규 매크로 활성화 문서나 이전의 악용 프로그램에 의존할 수 있습니다. 그들이 고수하는 하나의 악용 프로그램은 CVE-2017-0199입니다. 이 취약점은 처음에 무기화된 문서에 연결된 원격 스크립트의 자동 실행을 허용했습니다. 이 공격은 문서 메타 파일 내에 포함된 URL을 통해 원격 콘텐츠를 가져오는 데 의존합니다. 문서는 다른 매크로 활성화 문서인 원격 템플릿을 가져옵니다. 첫 번째 문서에는 이미지 데이터로 선언된 두 개의 Base64 인코딩된 바이너리 객체(32비트 및 64비트 Windows용)가 포함되어 있습니다. 두 번째 문서(원격 템플릿)에는 이러한 객체 중 하나를 추출한 다음 새 프로세스(notepad.exe)를 생성하여 바이너리 코드를 주입하고 실행하는 VBA 매크로가 포함되어 있습니다. VBA 매크로는 바이너리 객체와 원래 문서의 원격 템플릿 참조를 제거하고 동일한 파일에 저장하여 문서를 실질적으로 무장 해제합니다.

SecureList에서 가져온 악성 문서와 원격 템플릿을 사용한 과정을 보여주는 차트
SecureList에서 가져온 이미지

비슷한 TTP

비슷한 TTP를 사용한 다른 별개의 악성 캠페인에서 북한은 구인 업체로 보이는 악성 이메일을 사용했습니다. 악성 이메일 안에는 더 악성인 문서가 포함되어 있으며, 앞서 언급한 다른 샘플들처럼 CVE-2017-0199를 악용합니다. 이 문서는 피해자의 정보를 훔치는 악성 DLL을 실행하며, 그런 다음 네 개의 명령 및 제어 서버(C2) 중 하나로 전송됩니다. 추출된 데이터는 압축되고, XOR 암호화되며, 그 다음 Base64로 인코딩되어 C2 서버로 전송됩니다.

위의 악성 프로그램이 데이터를 추출할 도메인 중 하나는 shopandtravelusa[.]com입니다. 웹메일 로그인을 호스팅하여 피싱 사이트일 가능성이 있습니다. 이것은 이것이 사용되고 있는 동안 다중 사용 C2였을 수 있음을 시사합니다.

온라인 웹메일 가입을 보여주는 스크린샷

이것이 실제로 피싱 사이트였다면, 북한이 사용한 첫 번째 것은 아니었습니다.

2022년 6월 27일, 트위터 사용자 “Phantom XSec“은 남한의 “탈북자”를 겨냥한 북한 피싱 사이트(naver[.]challengedrive[.]42web.io)를 보고했습니다. 링크에는 Base64로 인코딩된 Google 드라이브 URL과 피해자 이메일이 포함되어 있습니다.

리디렉션을 보여주는 스크린샷
문서를 다운로드하기 전에 신원 확인을 요구하는 웹사이트의 스크린샷

사이트는 악성 문서를 다운로드하기 전에 본인 확인을 요구합니다. 이 문서는 Google 드라이브 링크에 호스팅되어 있습니다. 이것은 북한의 일반적인 TTP입니다. Google 드라이브 링크 분석은 다음 정보를 제공하였습니다:

Document ID : 1YdiX8eN2O-fiJeauLnAM8TUq4SauCGeG
[+] Creation date : 2022/04/01 01:02:00 (UTC)
[+] Last edit date : 2022/04/01 01:02:12 (UTC)
Public permissions :
reader
[+] Owner found !
Name : SungJi Lee
Email : [email protected]
Google ID : 05253374549522814493
[+] Custom profile picture !
=> https://lh3.googleusercontent.com/a/default-user=s64

결론

북한의 위협 행위자 활동은 오래된 악성 인프라의 반복적인 재사용으로 잘 알려져 있습니다. TTP에서 변화를 예상하지 않습니다. 새로운 악성 소프트웨어와 인프라가 그들의 무기고에 추가될 수는 있지만, TTP의 지속적인 중복은 분석가들이 이 악명 높은 국가의 사이버 위협을 계속 지켜볼 수 있도록 합니다.

IOCs
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Share this article

상담문의

Menlo Security의 제품 및 솔루션에 관한 문의사항

궁금하신 내용이 있거나 비즈니스 상담을 원하시는 경우 양식을 제출하여 멘로 시큐리티 전문가에게 상담받으세요.